Plattform für Internetsicherheit
Home » XSS Cross-Site Scripting » X-XSS-Protection-Header

HTTP Headers: X-XSS-Protection

Schutz vor Cross-Site-Scripting (XSS)

HTTP Headers: X-XSS-Protection

X-XSS-Protection Header implementieren:

Ähnlich wie der X-Frame-Options-Header wurde der X-XSS-Protection-Header, der einst ein empfohlener Standard zur Verhinderung von Cross-Site-Scripting (XSS)-Angriffen war, abgekündigt und durch die Reflected-XSS-Direktive in der Content Security Policy ersetzt. Diese Direktive befindet sich noch in der aktiven Entwicklung. Der X-XSS-Protection-Header hat derzeit jedoch eine breitere Unterstützung und ist daher immer noch ein HTTP-Sicherheitsheader, der umgesetzt werden sollte.

Was ist X-XSS-Protection?

Der X-XSS-Protection-Header ist darauf ausgelegt, den in modernen Webbrowsern integrierten Cross-Site Scripting (XSS)-Filter zu aktivieren.

Die empfohlene Konfiguration besteht darin, diesen Header auf den folgenden Wert zu setzen, um den XSS-Schutz zu aktivieren und den Browser anzuweisen, die Antwort zu blockieren, falls ein bösartiges Skript aus Benutzereingaben eingefügt wurde, anstatt es zu bereinigen.

PHP
header('X-XSS-Protection: 1; mode=block');

Was ist Cross-Site Scripting (XSS)?

Cross-Site Scripting, auch als XSS bekannt, ist im Wesentlichen eine Methode zum Injizieren von Code, der im Namen einer Website Aktionen im Browser des Benutzers ausführt.

Manchmal wird dies vom Benutzer bemerkt, und manchmal bleibt es völlig unbemerkt im Hintergrund. Es gibt viele verschiedene Arten von XSS-Schwachstellen, hier sind zwei der häufigsten:

Reflektierendes XSS: Dies sind normalerweise die häufigsten Arten. In der Regel handelt es sich um HTTP-Abfrageparameter, die von serverseitigen Skripten verwendet werden, um eine Ergebnisseite für den Benutzer zu analysieren und anzuzeigen.

Persistierendes XSS: Hierbei handelt es sich um Fälle, bei denen die Daten des Angreifers tatsächlich auf dem Server gespeichert und dann dem Benutzer angezeigt werden, um eine normale Seite zu imitieren.

Google 360 für Ihre Website. Mit Sicherheit.

360° Website SecurityWebsite-Check

Ein einfacher Prozess, der Ihnen hilft:

  • Die Datenschutzerklärung 100% abmahnsicher verfassen.
  • Sicherstellen, dass nur notwendige Cookies verwendet werden.
  • Überprüfen, ob notwendige Sicherheitsbestimmungen konform sind.
  • Für einen sorgenfreien Internet-Auftritt Ihres Unternehmens.
Geben Sie Ihre Website-URL und E-Mail ein. Sie erhalten den detaillierten Prüfbericht, in dem alle Fehler und die entsprechenden Korrekturen ausführlich beschrieben werden. Der Audit ist kostenlos, aber nicht umsonst!

Ihre Daten werden ausschließlich zur Kontaktaufnahme im Rahmen unserer Datenschutzerklärung verarbeitet.