php - 浏览器的 X-XSS-Protection/XSS Auditor 是否足以防止 XSS？

Question

据我了解，我需要在 header 服务器端禁用 X-XSS-Protection，以防止通过 GET 请求发生 XSS。

例如，用户浏览到

http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>

假设 $_GET['page'] 从 PHP 回显到页面而没有以任何方式进行更改，XSS 审核员应该发现请求中存在回显到页面的内容并阻止它。

这是否足以防止 XSS 攻击，或者攻击者可以绕过此浏览器保护？

这足以说明它受到所有主流浏览器的支持并且不可绕过。

Answer 1

不，一点也不。客户端 XSS 过滤试图在客户端解决服务器端问题(缺少输出转义)，而客户端没有足够的知识来解决该问题。它永远不可能 100% 工作，并且总是会产生误报。这是一项纵深防御措施，也是一项非常值得怀疑的措施。您不得单独依赖它作为 XSS 的解决方案。

客户端 XSS 过滤:

• 无法防御多重反射 XSS(即在一个参数中包含 <，在另一个参数中包含 script，并在其旁边获取输出)；

• 无法防御特定于应用程序的编码层(例如以JSON格式提交、解码并显示而不转义)；

• 无法防御表单参数以外的输入类型；

• 无法防御基于在页面中插入脚本以外的其他内容的攻击；

• 在防御 CSS 等晦涩难懂的脚本注入(inject)方式方面有着非常不完整的历史；

• 根本无法防御存储型 XSS；

• 并非所有流行浏览器都支持；

• 允许攻击者有选择地禁用您页面上的脚本，从而对其进行破坏。

这不是一场胜利。