ugrás a tartalomhoz

Cross-site Scripting/XSS védelem?

mind1 valami név · 2021. Jan. 13. (Sze), 10.53
Van egy olyan, nagyon régi támadási felület a neten, amit XSS néven emlegetnek.
Kell ez ellen valami extra védelem a mai böngészőkbe? Vagy ma már alapból védett minden normális/elterjedt browser?


A háttér:

Nem tudom, ezek mennyire működnek manapság, mindenesetre a Noscript nevű firefox addon tartalmaz egy XSS védelemnek nevezett eszközt is.
Egy híroldal a disqus nevű szolgáltatást használja kommenteléshez, de pár napja, ha firefox alól megyek oda, iszonyat lassú és néha feljön egy hibaüzenet ami XSS támadás lehetőségét emlegeti, mert az oldal a disqus.com-ról futtat javascriptet.
A hiba persze bárhol lehet, akár az adott oldalon, akár a disqus-nál, akár a Noscript-ben.
Csak úgy elgondolkodtam, hogy vajon miért szükséges a Noscript-be egy ilyen védelem, ha a mai browserek egyébként védettek?
Ha meg nem, annak mi az oka?
 
1

CSP

Endyl · 2021. Jan. 13. (Sze), 13.19
Megfelelően szigorú, mindenre kiterjedő CSP fejlécekkel a böngésző elég jól tud védeni XSS ellen, vagy ha a követőblokkolás funkció keretében esetleg tilt gyanús forrású szkripteket, akkor talán valamit kiszűrhet. Viszont ha az oldal nem megfelőlen szűri a felhasználók által beküldött dolgokat, akkor simán lehet XSS-elni.
2

Ez azért nem ilyen egyszerű,

inf · 2021. Jan. 13. (Sze), 14.32
Ez azért nem ilyen egyszerű, kell hozzá néhány jól beállított HTTP header, hogy normálisan működjön. Illetve szűrni kell a bemenetet továbbra is.