PageAuditRU
@PageAuditRU
Senior SEO Анализатор

Почему Facebook отключил защиту от XSS-атак?

Добрый!

Обратил внимание, что Facebook в HTTP-заголовке ответа указывает x-xss-protection: 0, что формально должно отключать встроенную в браузер пользователя защиту от XSS-атак.
При этом в заголовке content-security-policy для script-src разрешены "небезопасные" 'unsafe-inline' 'unsafe-eval'.
И, опять же, сам FB следит, чтобы его не пытались "ломать":
60e40f9a72cd7064211275.png

В чём логика FB или как он на самом деле защищается от XSS?
  • Вопрос задан
  • 909 просмотров
Решения вопроса 1
PageAuditRU
@PageAuditRU Автор вопроса
Senior SEO Анализатор
Итак, спасибо Евгению Глебову за комментарии. Теперь всё стало понятно.

Защита с помощью заголовка (и соответствующей технологии) X-XSS-Protection скомпрометирована и создаёт ложное ощущение защищённости. В любом из режимов 0 или 1; mode=block реализуемы XS-атаки.

Разработчикам рекомендовано:
- явно отключить защиту, установив директиву 0,
- перейти к использованию защиты, используя заголовок Content-Security-Policy,
- самостоятельно обеспечить защиту сайта от XSS-атак.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы