X-XSS-Protection var ett säkerhetshuvud som har funnits sedan version 4 av Google Chrome. Den designades för att möjliggöra ett verktyg som kontrollerade innehållet på webbplatsen för återspeglad cross-site scripting. Alla större webbläsare har nu dragit tillbaka stödet för rubriken eftersom det slutade med säkerhetsbrister. Det rekommenderas starkt att du inte ställer in rubriken alls och istället konfigurerar en stark innehållssäkerhetspolicy.
Tips: Cross-Site Scripting förkortas vanligtvis till akronymen "XSS".
Reflekterad cross-site scripting är en klass av XSS-sårbarhet där utnyttjandet är direkt kodat i URL:en och endast påverkar användaren som besöker URL:en. Reflekterad XSS är en risk när webbsidan visar data från URL:en. Till exempel, om en webbbutik tillåter dig att söka efter produkter kan den mycket väl ha en webbadress som ser ut så här "website.com/search?term=gift" och inkludera ordet "present" på sidan. Problemet börjar om någon lägger in JavaScript i URL:en, om den inte är ordentligt sanerad kan denna JavaScript köras snarare än att skrivas ut på skärmen som den ska. Om en angripare kunde lura en användare att klicka på en länk med den här typen av XSS-nyttolast kanske de kan göra saker som att ta över deras session.
X-XSS-Protection var avsett att upptäcka och förhindra denna typ av attack. Tyvärr upptäcktes med tiden ett antal förbikopplingar och till och med sårbarheter i hur systemet fungerade. Dessa sårbarheter innebar att implementering av X-XSS-Protection-huvudet skulle introducera en skriptsårbarhet på flera webbplatser på en annars säker webbplats.
För att skydda mot detta, med insikten att innehållssäkerhetspolicyns rubrik, vanligtvis förkortad till "CSP", innehåller funktionalitet för att ersätta den, beslutade webbläsarutvecklare att ta bort funktionen. De flesta webbläsare, inklusive Chrome, Opera och Edge, har antingen tagit bort stödet eller, när det gäller Firefox, aldrig implementerat det. Det rekommenderas att webbplatser inaktiverar rubriken för att skydda de användare som fortfarande använder äldre webbläsare med funktionen aktiverad.
X-XSS-Protection kan ersättas med inställningen "osäker-inline" i CSP-huvudet. Att kunna aktivera den här inställningen kan ta mycket arbete beroende på webbplatsen, eftersom det innebär att all JavaScript måste finnas i externa skript och inte kan inkluderas i HTML-koden direkt.
Annonser kan vara användbara eftersom de informerar dig om erbjudanden och tjänster du kan behöva. Men de kan bli ohanterliga och bli irriterande. Det är då du vänder dig till annonsblockerare. Lär dig hur du konfigurerar Ad-Blocker i Opera för Android med dessa steg.
Lär dig hur man markerar eller framhäver viss text i dina Google Docs-dokument med hjälp av dessa steg för din dator, smartphone eller surfplatta.
Webbläsaren Google Chrome erbjuder ett sätt för dig att ändra de typsnitt den använder. Lär dig hur du ställer in typsnittet på det du vill.
Lär dig hur du markerar text med färg i Google Slides-appen med denna steg-för-steg-guide för mobil och dator.
Se hur du kan identifiera en specifik färg med ett integrerat verktyg i Firefox utan att använda tredjepartsprogram.
Du kan hitta flera tillägg för Gmail för att göra din hantering av e-post mer produktiv. Här är de bästa Gmail Chrome-tilläggen.
Se hur enkelt det är att lägga till ett ord eller ett annat språk i Firefox stavningskontroll. Se också hur du kan stänga av stavningskontroll för webbläsaren.
Se vilka steg du ska följa för att snabbt stänga av Google Assistant. Känn dig mindre övervakad och inaktivera Google Assistant.
Dina Facebook-vänner kan se alla kommentarer du skriver på offentliga inlägg. Facebook-kommentarer har inga individuella sekretessinställningar.
Att veta hur du ändrar Facebooks integritetsinställningar på en telefon eller tablet gör det enklare att hantera ditt konto.
