Plattform für Internetsicherheit
Home » XSS Cross-Site Scripting » X-XSS-Protection-Header

HTTP Headers: X-XSS-Protection

Schutz vor Cross-Site-Scripting (XSS)

HTTP Headers: X-XSS-Protection

X-XSS-Protection Header implementieren:

Ähnlich wie der X-Frame-Options-Header wurde der X-XSS-Protection-Header, der einst ein empfohlener Standard zur Verhinderung von Cross-Site-Scripting (XSS)-Angriffen war, abgekündigt und durch die Reflected-XSS-Direktive in der Content Security Policy ersetzt. Diese Direktive befindet sich noch in der aktiven Entwicklung. Der X-XSS-Protection-Header hat derzeit jedoch eine breitere Unterstützung und ist daher immer noch ein HTTP-Sicherheitsheader, der umgesetzt werden sollte.

Was ist X-XSS-Protection?

Der X-XSS-Protection-Header ist darauf ausgelegt, den in modernen Webbrowsern integrierten Cross-Site Scripting (XSS)-Filter zu aktivieren.

Die empfohlene Konfiguration besteht darin, diesen Header auf den folgenden Wert zu setzen, um den XSS-Schutz zu aktivieren und den Browser anzuweisen, die Antwort zu blockieren, falls ein bösartiges Skript aus Benutzereingaben eingefügt wurde, anstatt es zu bereinigen.

PHP
header('X-XSS-Protection: 1; mode=block');

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting, auch als XSS bekannt, ist im Wesentlichen eine Methode zum Injizieren von Code, der im Namen einer Website Aktionen im Browser des Benutzers ausführt.

Manchmal wird dies vom Benutzer bemerkt, und manchmal bleibt es völlig unbemerkt im Hintergrund. Es gibt viele verschiedene Arten von XSS-Schwachstellen, hier sind zwei der häufigsten:

Reflektierendes XSS: Dies sind normalerweise die häufigsten Arten. In der Regel handelt es sich um HTTP-Abfrageparameter, die von serverseitigen Skripten verwendet werden, um eine Ergebnisseite für den Benutzer zu analysieren und anzuzeigen.

Persistierendes XSS: Hierbei handelt es sich um Fälle, bei denen die Daten des Angreifers tatsächlich auf dem Server gespeichert und dann dem Benutzer angezeigt werden, um eine normale Seite zu imitieren.

GetSafe 360° Box

360° Website SecurityRundum-Absicherung

  • HTTP-Sicherheits-Header
  • Inhaltsicherheitsrichtlinie (CSP)
  • XSS-Absicherung

Ihr Internet-Auftritt ist nur so sicher wie die schwächste Stelle.

Schlüsselfertige Absicherung:

Unsere Experten erledigen diese Aufgabe komplett für Sie.
Statt 289,- € jetzt zum Vorzugspreis von 149,- €

Jetzt Starten »