360° Website Power: Schneller, sicherer, smarter.
Home » XSS Cross-Site Scripting » X-XSS-Protection-Header

X-XSS-Header (obsolet)

X-XSS-Header werden nicht mehr empfohlen

Schutz vor Cross-Site-Scripting (XSS)
HTTP Headers: X-XSS-Protection wurde ausgemustert

Implementierung des X-XSS-Headers

Falls Sie keine CSP verwenden, besteht die empfohlene Konfiguration darin, den XSS-Schutz zu aktivieren und den Browser anzuweisen, die Antwort zu blockieren mode=block, falls ein bösartiges Skript aus Benutzereingaben eingefügt wurde.

.htaccess

<IfModule mod_headers.c>
  Header always set X-XSS-Protection 1; mode=block
</IfModule>

X-XSS-Schutz deaktivieren

Während X-XSS-Protection anfangs ein praktisches Tool gegen XSS-Angriffe war, bietet die Einführung von CSP einen effektiveren und differenzierteren Ansatz zur Sicherung von Webanwendungen.

Die Einstellung X-XSS-Protection: 0 bei Verwendung von CSP ist eine bewährte Methode, die modernen Websicherheitsstandards entspricht und sich auf Präzision und Leistung konzentriert, ohne die Sicherheit zu beeinträchtigen.

.htaccess

<IfModule mod_headers.c>
  Header always set X-XSS-Protection "0"
</IfModule>

Was ist der X-XSS-Schutz-Header?

X-XSS-Schutz ist ein HTTP-Header, der von einigen Webbrowsern verwendet wird, um den integrierten Cross-Site-Scripting-Filter (XSS) zu aktivieren. XSS-Angriffe treten auf, wenn es Angreifern gelingt, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern angezeigt werden, und so möglicherweise Informationen stehlen oder sich als der Benutzer ausgeben.

Der X-XSS-Protection Header ist überholt

Der X-XSS-Protection-Header wurde, wie der X-Frame-Options-Header, abgekündigt und durch die Reflected-XSS-Direktive in der Content Security Policy ersetzt.

Der X-XSS-Protection-Header wurde ursprünglich eingeführt, um Cross-Site-Scripting-Angriffe (XSS) abzuschwächen, indem das Laden von Seiten gestoppt wird, wenn ein reflektierter XSS-Angriff erkannt wird. Diese Funktion ist jedoch aus mehreren Gründen obsolet geworden.

Der X-XSS-Protection-Header hat derzeit jedoch eine breite Unterstützung und ist daher immer noch ein HTTP-Sicherheitsheader, der umgesetzt werden sollte.

Warum die Deaktivierung des X-XSS-Headers zugunsten von CSP jetzt der richtige Weg ist

Die Abwertung und Veralterung des X-XSS-Protection-Headers zugunsten einer richtig konfigurierten Content Security Policy (CSP) begann etwa 2019 deutlich an Bedeutung zu gewinnen.

Der X-XSS-Protection-Header kann manchmal Sicherheitsprobleme verursachen, da er zu Cross-Site-Informationslecks führen kann. Daher kann das Setzen dieses Headers unbeabsichtigt die Sicherheit einer Site verringern​​.

In diesem Jahr begannen große Browser wie Chrome und Edge, ihre Unterstützung für den X-XSS-Protection-Header aufgrund seiner Einschränkungen und potenziellen Sicherheitsprobleme entweder zu deaktivieren oder vollständig zu entfernen.

  • Chrome und Edge haben ihre Unterstützung für den X-XSS-Protection-Header entfernt, da er umgangen werden und möglicherweise Sicherheitslücken verursachen könnte.
  • Firefox, der diesen Header nie unterstützte, betonte den Wechsel zu CSP als robustere und modernere Lösung zur Eindämmung von XSS-Angriffen.

Moderne Alternative: Die Content Security Policy (CSP)

Für den XSS-Schutz wird jetzt eine gut konfigurierte Content Security Policy (CSP) empfohlen. Mit CSP können Sie Ressourcen steuern, die der Benutzeragent für eine bestimmte Seite laden darf. Es enthält Anweisungen wie script-src, um zu steuern, welche Skripte ausgeführt werden können, und so die Ausführung bösartiger Skripte zu verhindern.

Durch die Definition eines strikten CSP können Sie die Verwendung von Inline-JavaScript („unsafe-inline“) deaktivieren und so das Risiko von XSS-Angriffen erheblich verringern.

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting, auch als XSS bekannt, ist im Wesentlichen eine Methode zum Injizieren von Code, der im Namen einer Website Aktionen im Browser des Benutzers ausführt.

Manchmal wird dies vom Benutzer bemerkt, und manchmal bleibt es völlig unbemerkt im Hintergrund. Es gibt viele verschiedene Arten von XSS-Schwachstellen, hier sind zwei der häufigsten:

Reflektierendes XSS: Dies sind normalerweise die häufigsten Arten. In der Regel handelt es sich um HTTP-Abfrageparameter, die von serverseitigen Skripten verwendet werden, um eine Ergebnisseite für den Benutzer zu analysieren und anzuzeigen.

Persistierendes XSS: Hierbei handelt es sich um Fälle, bei denen die Daten des Angreifers tatsächlich auf dem Server gespeichert und dann dem Benutzer angezeigt werden, um eine normale Seite zu imitieren.

GetSafe 360° Box

360° Website OptimierungWebsiteTuneUp

HTTP-Sicherheits-Header
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
Ausführung i.d.R. innerhalb von 24 Std.
100% Geld-zurück-Garantie
Keine monatlichen Kosten

Wir schützen, was Ihnen wichtig ist.

Schlüsselfertige Ausführung:

Unsere Experten erledigen die Optimierung komplett für Sie.
Jetzt zum Vorzugspreis von nur 195,- €

Jetzt Starten »