X-XSS-Protection беше заглавка за сигурност, която съществува от версия 4 на Google Chrome. Той е проектиран да активира инструмент, който проверява съдържанието на уебсайта за отразено скриптиране между сайтове. Всички основни браузъри вече са оттеглили поддръжката за заглавката, тъй като в крайна сметка той въвежда пропуски в сигурността. Силно препоръчително е изобщо да не задавате заглавката и вместо това да конфигурирате силна политика за сигурност на съдържанието.
Съвет: Междусайтовите скриптове обикновено се съкращават до акронима „XSS“.
Отразеният междусайтов скрипт е клас на XSS уязвимост, при който експлоата е директно кодирана в URL адреса и засяга само потребителя, който посещава URL адреса. Отразеният XSS представлява риск, когато уеб страницата показва данни от URL адреса. Например, ако уеб магазин ви позволява да търсите продукти, той може да има URL адрес, който изглежда така „website.com/search?term=gift“ и да включва думата „gift“ на страницата. Проблемът започва, ако някой постави JavaScript в URL адреса, ако не е добре дезинфекциран, този JavaScript може да се изпълни, а не да се отпечата на екрана, както би трябвало да бъде. Ако нападателят може да подмами потребител да щракне върху връзка с този вид XSS полезен товар, той може да е в състояние да прави неща като поемане на сесията им.
X-XSS-Protection е предназначен да открие и предотврати този тип атака. За съжаление, с течение на времето бяха открити редица заобикаляния и дори уязвимости в начина на работа на системата. Тези уязвимости означават, че внедряването на заглавката на X-XSS-Protection ще въведе уязвимост при скриптиране между сайтове в иначе защитен уебсайт.
За да се предпазят от това, с разбирането, че заглавката на Политиката за сигурност на съдържанието, обикновено съкратена до „CSP“, включва функционалност за замяната й, разработчиците на браузъри решиха да оттеглят функцията. Повечето браузъри, включително Chrome, Opera и Edge, са премахнали поддръжката или в случая с Firefox никога не са я внедрили. Препоръчително е уебсайтовете да деактивират заглавката, за да защитят тези потребители, които все още използват наследени браузъри с активирана функция.
X-XSS-Protection може да бъде заменен с настройката „unsafe-inline“ в заглавката на CSP. Възможността да активирате тази настройка може да отнеме много работа в зависимост от уебсайта, тъй като това означава, че целият JavaScript трябва да бъде във външни скриптове и не може да бъде включен директно в HTML.
Омръзна ли ви да използвате прекомерно дисково пространство с Microsoft Edge Startup Boost? Получете подробни решения, за да възстановите скоростта на компютъра си. Деактивирайте го сега и увеличете производителността без усилие!
Имате проблеми с грешката „Сертификатът на Microsoft Edge не е надежден“ през 2026 г.? Открийте бързи и доказани решения за възстановяване на сигурното сърфиране. Ръководство стъпка по стъпка, без да са необходими технически умения.
Откритото първенство на САЩ се завръща в Националния тенис център USTA Billie Jean King в Ню Йорк за своето 143-то издание. Стотици играчи ще се борят за шампионския трофей и дял от наградния фонд от 65 милиона долара.
Знаете ли, че Facebook навърши 17 години през 2023 г. Времето лети и вашият Facebook акаунт може да е по-стар, отколкото си мислите.
Постоянно ли получавате
Абонаментът за Adobe Creative Cloud ви дава достъп до облачни инструменти, като Adobe Photoshop или Illustrator, за да изведете творческите си произведения на следващото ниво. Въпреки това, приложенията на Creative Cloud не винаги могат да ви помогнат с това, от което се нуждаете за определени проекти, а в днешно време имаме много алтернативи на Adobe, включително безплатни като Gimp.
Чували ли сте, че можете да „закачите“ видеоклипове или коментари в TikTok, но не сте сигурни какво точно означава това? Тук ще обясним функцията за закачване и как да я използвате в TikTok.
Запален гледач ли сте на HBO Max, но не можете да си спомните паролата си? Не се паникьосвайте.
Ако сте заредили устройството си достатъчно, че вече не ви е необходим режимът за пестене на батерията, или просто искате устройството ви да работи с максимален капацитет, лесно е да изключите режима за пестене на енергия на вашите устройства с Microsoft Windows 11, Windows 10, macOS, Android, iOS и iPadOS. Ще ви покажем как да направите това на вашия настолен компютър или мобилно устройство.
Опитвате се да влезете в акаунта си в Snapchat, само за да бъдете посрещнати със съобщение за грешка и код C14A. Сървърите на платформата може да не работят, което причинява проблеми с влизането навсякъде.
