"এক্স-এক্সএসএস-সুরক্ষা" কি এইচডিপি শিরোনাম?

তাই আমি এখন telnet google.com 80টেলনেটে মজাদার জন্য এইচটিটিপি দিয়ে বেড়াতে যাচ্ছি (উদাহরণস্বরূপ কেবল টাইপ করা এবং বিভিন্ন শিরোনাম এবং এ জাতীয় পছন্দগুলি সহ এলোমেলো জিইটি এবং পোষ্টগুলি স্থাপন করা) তবে আমি গুগল.কম.কে এর শিরোনামে ট্রান্সমিট করে এমন কিছু উপস্থিত করেছি যে আমি জানি না

আমি http://www.w3.org/Protocols/rfc2616/rfc2616.html দেখছি এবং গুগল স্পাউট করছে বলে মনে হচ্ছে এই নির্দিষ্ট এইচডিপি-শিরোনামের কোনও সংজ্ঞা পাইনি:

GET / HTTP/1.1

HTTP/1.1 200 OK
Date: Wed, 01 Feb 2012 03:42:24 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=6ddbc0a0342e7e63:FF=0:TM=1328067744:LM=1328067744:S=4d4farvCGl5Ww0C3; expires=Fri, 31-Jan-2014 03:42:24 GMT; path=/; domain=.google.com
Set-Cookie: NID=56=PgRwCKa8EltKnHS5clbFuhwyWsd3cPXiV1-iXzgyKsiy5RKXEKbg89gWWpjzYZjLPWTKrCWhOUhdInOlYU56LOb2W7XpC7uBnKAjMbxQSBw1UIprzw2BFK5dnaY7PRji; expires=Thu, 02-Aug-2012 03:42:24 GMT; path=/; domain=.google.com; HttpOnly
P3P: CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en&answer=151657 for more info."
Server: gws
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

1000

কেউ কি জানেন কী X-XSS-Protection?

এক্স-এক্সএসএস-সুরক্ষা ইন্টারনেট এক্সপ্লোরার 8 (এবং আরও নতুন সংস্করণ) দ্বারা বোঝা একটি এইচটিটিপি শিরোনাম। এই শিরোনামটি ডোমেনগুলিকে আইই 8 এর "এক্সএসএস ফিল্টার" চালু এবং বন্ধ করতে দেয়, যা এক্সএসএসের কয়েকটি বিভাগের আক্রমণকে আটকায়। আইই 8-তে ফিল্টারটি ডিফল্টরূপে সক্রিয় হয়েছে, তবে সার্ভারগুলি সেট করে যদি স্যুইচ করা যায় তবে

   X-XSS-Protection: 0

Http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protication-http-header এও দেখুন । aspx

• X-XSS-Protection: 1 : জোর করে এক্সএসএস সুরক্ষা (এক্সএসএস সুরক্ষা ব্যবহারকারীর দ্বারা অক্ষম করা থাকলে দরকারী)

• X-XSS-Protection: 0 : এক্সএসএস সুরক্ষা অক্ষম করুন

• mode=blockকোনও সম্ভাব্য এক্সএসএস প্রতিবিম্ব (= অ-অবিচলিত) আক্রমণ সনাক্ত করা হলে টোকন ব্রাউজার (আইই 8 + এবং ওয়েবকিট ব্রাউজারগুলি) পৃষ্ঠাগুলি রেন্ডার করতে বাধা দেয় (স্যানিটাইজিংয়ের পরিবর্তে)।

/! Ning সতর্কতা, mode=blockIE8 ( আরও তথ্য ) এ দুর্বলতা তৈরি করে ।

আরও তথ্য: http://blogs.msdn.com/b/ie/archive/2008/07/02/ie8-security-part-iv-the-xss-filter.aspx এবং http://blog.veracode.com / 2014/03 / নির্দেশিকা-জন্য-সেটিং-নিরাপত্তা হেডার /

এই প্রতিক্রিয়া শিরোনামটি ব্যবহারকারী-এজেন্টের প্রতিবিম্বিত এক্সএসএস সুরক্ষায় নির্মিত কনফিগার করতে ব্যবহার করা যেতে পারে। বর্তমানে, কেবল মাইক্রোসফ্টের ইন্টারনেট এক্সপ্লোরার, গুগল ক্রোম এবং সাফারি (ওয়েবকিট) এই শিরোনামটিকে সমর্থন করে।

এক্সএসএস ফিল্টার হিসাবে পরিচিত প্রতিবিম্বিত ক্রস-সাইট স্ক্রিপ্টিং আক্রমণগুলি রোধে সহায়তা করার জন্য ইন্টারনেট এক্সপ্লোরার 8-তে একটি নতুন বৈশিষ্ট্য অন্তর্ভুক্ত । এই ফিল্টারটি ডিফল্টরূপে ইন্টারনেট, বিশ্বস্ত এবং সীমাবদ্ধ সুরক্ষা অঞ্চলগুলিতে চলে। স্থানীয় ইন্ট্রানেট জোন পৃষ্ঠাগুলি একই শিরোলেখ ব্যবহার করে সুরক্ষা বেছে নিতে পারে।

আপনি আপনার প্রশ্নে পোস্ট করা শিরোনাম সম্পর্কে,

হেডার X-XSS-Protection: 1; mode=blockপদ্ধতি এটা XSS ফিল্টার দেয়। পৃষ্ঠটি স্যানিটাইজ করার পরিবর্তে, যখন কোনও এক্সএসএস আক্রমণ সনাক্ত করা হয়, ব্রাউজারটি পৃষ্ঠাটি রেন্ডারিংয়ে বাধা দেয়।

২০১০ এর মার্চ মাসে, আমরা এক্স-এক্সএসএস-প্রোটেকশন শিরোনাম, মোড = ব্লকে নতুন টোকেনের জন্য আইই 8 সমর্থন যোগ করেছি।

X-XSS-Protection: 1; mode=block

এই টোকেনটি উপস্থিত থাকলে, কোনও সম্ভাব্য এক্সএসএস প্রতিবিম্ব আক্রমণটি সনাক্ত করা হলে, ইন্টারনেট এক্সপ্লোরার পৃষ্ঠাটির রেন্ডারিংকে আটকাবে। এক্সএসএস আক্রমণটি সার্জিকভাবে মুছে ফেলার জন্য পৃষ্ঠাটি স্যানিটাইজ করার চেষ্টা করার পরিবর্তে, IE কেবলমাত্র "#" রেন্ডার করবে।

ইন্টারনেট এক্সপ্লোরার একটি সম্ভাব্য ক্রস-সাইট স্ক্রিপ্টিং আক্রমণকে স্বীকৃতি দেয়। এটি ইভেন্টটি লগ করে এবং ব্যবহারকারীর জন্য একটি উপযুক্ত বার্তা প্রদর্শন করে। এমএসডিএন নিবন্ধটি এই শিরোনামটি কীভাবে কাজ করে তা বর্ণনা করে।

এই ফিল্টার কীভাবে IE এ কাজ করে ,

এই নিবন্ধটি সম্পর্কে আরও জানুন, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/

এক্সএসএস ফিল্টার ব্রাউজারের মধ্য দিয়ে প্রবাহিত সমস্ত অনুরোধ / প্রতিক্রিয়াগুলিতে দৃশ্যমানতার সাথে আইই 8 উপাদান হিসাবে কাজ করে। ফিল্টার যখন কোনও ক্রস-সাইট অনুরোধে এক্সএসএসের সম্ভাবনা আবিষ্কার করে, এটি সার্ভারের প্রতিক্রিয়াতে পুনরায় খেললে এটি আক্রমণ এবং শনাক্তকারীদের সনাক্ত করে। ব্যবহারকারীরা এমন প্রশ্নের সাথে উপস্থাপিত হয় না যেগুলি তারা উত্তর দিতে অক্ষম হয় - IE কেবল দূষিত স্ক্রিপ্টটি কার্যকর করতে বাধা দেয়।

নতুন এক্সএসএস ফিল্টার সহ, আইই 8 বিটা 2 ব্যবহারকারীরা টাইপ -1 এক্সএসএস আক্রমণে মুখোমুখি হলেন নীচের মত বিজ্ঞপ্তি দেখতে পাবেন:

আইই 8 এক্সএসএস অ্যাটাকের বিজ্ঞপ্তি

পৃষ্ঠাটি পরিবর্তন করা হয়েছে এবং এক্সএসএস আক্রমণটি অবরুদ্ধ করা হয়েছে।

এই ক্ষেত্রে, এক্সএসএস ফিল্টার URL- এ একটি ক্রস-সাইট স্ক্রিপ্টিং আক্রমণ চিহ্নিত করেছে identified এটি চিহ্নিত করা স্ক্রিপ্টটি প্রতিক্রিয়া পৃষ্ঠায় পুনরায় প্লে করা হওয়ায় এটি এই আক্রমণটিকে নিবিড়িত করেছে। এইভাবে, সার্ভারের প্রাথমিক অনুরোধটি সংশোধন না করে বা পুরো প্রতিক্রিয়াটিকে অবরুদ্ধ না করেই ফিল্টার কার্যকর।

যখন উইন্ডোজ ইন্টারনেট এক্সপ্লোরার 8 কোনও ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) আক্রমণ সনাক্ত করে এবং প্রশমিত করে তখন ক্রস-সাইট স্ক্রিপ্টিং ফিল্টার ইভেন্টটি লগ হয়। ক্রস-সাইট স্ক্রিপ্টিং আক্রমণগুলি ঘটে যখন একটি ওয়েবসাইট, সাধারণত দূষিত, জাভাস্ক্রিপ্ট কোডটিকে অন্য ওয়েবসাইটটিতে বৈধ অনুরোধগুলিতে ইনজেক্ট করে (যুক্ত করে) মূল অনুরোধটি সাধারণত নির্দোষ, যেমন অন্য কোনও পৃষ্ঠার লিঙ্ক বা সাধারণ গেটওয়ে ইন্টারফেস (সিজি) স্ক্রিপ্ট একটি সাধারণ পরিষেবা সরবরাহ করে (যেমন কোনও গেস্টবুক)। ইনজেকশিত স্ক্রিপ্টটি সাধারণত বিশেষাধিকারযুক্ত তথ্য বা পরিষেবাদিগুলিতে অ্যাক্সেস করার চেষ্টা করে যা দ্বিতীয় ওয়েবসাইটটি অনুমতি দেওয়ার ইচ্ছা করে না। প্রতিক্রিয়া বা অনুরোধটি দূষিত ওয়েবসাইটে ফিরে ফলাফলগুলি প্রতিফলিত করে। এক্সএসএস ফিল্টার, ইন্টারনেট এক্সপ্লোরার 8-এ নতুন বৈশিষ্ট্যযুক্ত ইউআরএল এবং HTTP পোষ্ট অনুরোধগুলিতে জাভাস্ক্রিপ্ট সনাক্ত করে। যদি জাভাস্ক্রিপ্ট সনাক্ত করা হয়, এক্সএসএস ফিল্টার প্রতিবিম্বের প্রমাণ অনুসন্ধান করে, আক্রমণকারী অনুরোধটি অপরিবর্তিত রাখলে আক্রমণকারী ওয়েবসাইটে ফিরে আসবে এমন তথ্য। যদি প্রতিচ্ছবি সনাক্ত করা হয়, এক্সএসএস ফিল্টার মূল অনুরোধটি স্যানিটাইজ করে যাতে অতিরিক্ত জাভাস্ক্রিপ্ট কার্যকর করা যায় না। এক্সএস ফিল্টার এর পরে ক্রস-সাইট স্ক্রিপ্ট ফিল্টার ইভেন্ট হিসাবে সেই ক্রিয়াকে লগ করে। নিম্নলিখিত চিত্রটি এমন কোনও সাইটের উদাহরণ দেখায় যা ক্রস-সাইট স্ক্রিপ্টিং আক্রমণ রোধ করতে সংশোধিত হয়।

সূত্র: https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx

ওয়েব বিকাশকারীরা তাদের সামগ্রীর জন্য ফিল্টারটি অক্ষম করতে চাইতে পারেন। একটি HTTP শিরোনাম সেট করে তারা এটি করতে পারে:

X-XSS-Protection: 0

সুরক্ষা শিরোনামে আরও

• সুরক্ষা শিরোনাম নির্ধারণের জন্য নির্দেশিকা

• সুরক্ষা HTTP শিরোনাম - এক্স-এক্সএসএস-সুরক্ষা

• MDN ডক্স এক্স-এক্সএসএস-সুরক্ষা

আপনি দরকারী এইচটিটিপি শিরোনামের এই তালিকায় দেখতে পাবেন ।

এক্স-এক্সএসএস-সুরক্ষা: এই শিরোনামটি সাম্প্রতিক ওয়েব ব্রাউজারগুলিতে নির্মিত ক্রস-সাইট স্ক্রিপ্টিং (এক্সএসএস) ফিল্টারটিকে সক্ষম করে en এটি সাধারণত কোনওভাবেই ডিফল্টরূপে সক্ষম হয়, সুতরাং ব্যবহারকারী দ্বারা অক্ষম করা থাকলে এই বিশেষ ওয়েবসাইটটির জন্য ফিল্টারটিকে পুনরায় সক্ষম করা এই শিরোনামের ভূমিকা। এই শিরোনামটি IE 8+ এবং Chrome এ সমর্থিত (কোন সংস্করণগুলি নিশ্চিত নয়)। অ্যান্টি-এক্সএসএস ফিল্টারটি ক্রোম ৪-এ যুক্ত করা হয়েছিল that সংস্করণটি এই শিরোনামটিকে সম্মানিত করেছে তবে এটি অজানা।

টিএল; ডিআর: সমস্ত ভাল লিখিত ওয়েবসাইট (/ অ্যাপ্লিকেশন) এ শিরোনাম নির্গত করতে হবে X-XSS-Protection: 0এবং কেবল এই বৈশিষ্ট্যটি ভুলে যেতে হবে। যদি আপনি অতিরিক্ত সুরক্ষা পেতে চান যা আরও ভাল ব্যবহারকারী এজেন্ট সরবরাহ করতে পারে তবে কঠোর Content-Security-Policyশিরোনাম ব্যবহার করুন ।

দীর্ঘ উত্তর:

X-XSS-Protectionমাইক্রোসফ্ট ইন্টারনেট এক্সপ্লোরার 8.0 (এমএসআইই 8) এর মধ্যে যেগুলি ভুলভাবে লিখিত ওয়েবসাইটগুলির সুরক্ষা উন্নত করার কথা বলেছিল সেগুলির মধ্যে একটি এইচটিটিপি শিরোনাম is

প্রতিচ্ছবি এক্সএসএস আক্রমণ সনাক্ত করার চেষ্টা করার জন্য এবং স্বয়ংক্রিয়ভাবে আক্রমণটিকে নিরপেক্ষ করার জন্য ধারণাটি হ'ল এক ধরণের হিউরিস্টিক প্রয়োগ করা।

এর সমস্যাযুক্ত অংশ হ'ল "হিউরিস্টিক্স" এবং "নিউটারিং"। হিউরিস্টিকস মিথ্যা ইতিবাচক কারণ সৃষ্টি করে এবং নিউটুরিং নিরাপদে করা যায় না কারণ এটি পার্শ্ব প্রতিক্রিয়া তৈরি করে যা এক্সএসএস আক্রমণ এবং ডস আক্রমণগুলি পুরোপুরি নিরাপদ ওয়েব সাইটগুলিতে প্রয়োগ করতে ব্যবহার করা যেতে পারে ।

খারাপ দিকটি হ'ল যদি কোনও ওয়েবসাইট যদি শিরোনাম নির্গত না করে X-XSS-Protectionতবে ব্রাউজারটি এমন আচরণ করবে যেমন X-XSS-Protection: 1শিরোনামটি নির্গত হয়েছিল। সবচেয়ে খারাপ দিকটি হ'ল এই মানটি এই শিরোলেখের জন্য সমস্ত সম্ভাব্য মানের সবচেয়ে কম-নিরাপদ মান!

প্রদত্ত সুরক্ষিত ওয়েব সাইটের জন্য (যা সাইটের প্রতিচ্ছবি এক্সএসএস দুর্বলতাগুলিতে নেই) এই "এক্সএসএস সুরক্ষা" বৈশিষ্ট্যটি নিম্নলিখিত আক্রমণগুলিকে অনুমতি দেয় :

X-XSS-Protection: 1আক্রমণকারীটিকে জাভাস্ক্রিপ্টের কিছু অংশ বেছে বেছে অবরুদ্ধ করতে এবং বাকী স্ক্রিপ্টগুলি চালিয়ে যাওয়ার অনুমতি দেয়। এটি সম্ভব হয়েছে কারণ এই বৈশিষ্ট্যের হিউরিস্টিক্স কেবল "যদি কোনও জিইটি প্যারামিটারের মান পৃষ্ঠার উত্সের স্ক্রিপ্টিং অংশে পাওয়া যায় তবে স্ক্রিপ্টটি স্বয়ংক্রিয়ভাবে ব্যবহারকারী এজেন্ট নির্ভরশীল পদ্ধতিতে পরিবর্তিত হবে"। অনুশীলনে, আক্রমণকারী উদাহরণস্বরূপ প্যারামিটার যুক্ত করতে পারে disablexss=<script src="framebuster.js"এবং ব্রাউজারটি স্বয়ংক্রিয় <script src="framebuster.js"পৃষ্ঠা উত্স থেকে স্ট্রিংটি স্বয়ংক্রিয়ভাবে সরিয়ে ফেলবে । নোট করুন যে পৃষ্ঠাটির বাকী অংশ চলতে থাকে এবং আক্রমণকারী কেবল পৃষ্ঠা সুরক্ষার এই অংশটি সরিয়ে ফেলে। অনুশীলনে, পৃষ্ঠা উত্সের কোনও জেএস সংশোধন করা যেতে পারে। কিছু ক্ষেত্রে, এক্সএসএস দুর্বলতাযুক্ত একটি পৃষ্ঠাতে প্রতিফলিত সামগ্রী রয়েছে যা নিউটারিংয়ের কারণে পৃষ্ঠায় নির্বাচিত জাভাস্ক্রিপ্ট চালানোর জন্য ব্যবহার করা যেতে পারেপ্লেইন টেক্সট ডেটাটিকে কার্যকরভাবে কার্যকরযোগ্য জাভাস্ক্রিপ্ট কোডে রূপান্তর করা ।

X-XSS-Protection: 1; mode=blockআক্রমণকারীটিকে পৃষ্ঠার চ্যানেল হিসাবে পৃষ্ঠাটির ব্যবহার করে পৃষ্ঠা উত্স থেকে ডেটা ফাঁস করার অনুমতি দেয়। উদাহরণস্বরূপ, পৃষ্ঠাটিতে যদি জাভাস্ক্রিপ্ট কোডটি লাইনগুলি বরাবর থাকে var csrf_secret="521231347843"তবে আক্রমণকারী কেবল একটি অতিরিক্ত প্যারামিটার যুক্ত করে eg উদাহরণস্বরূপ leak=var%20csrf_secret="3এবং পৃষ্ঠাটি অবরুদ্ধ না করা থাকলে, 3প্রথমটি ভুল ছিল। আক্রমণকারী আবার চেষ্টা করে, এবার leak=var%20csrf_secret="5এবং পৃষ্ঠা লোডিং বাতিল করা হবে। এটি আক্রমণকারীকে জানতে পারে যে গোপনীয়তার প্রথম সংখ্যাটি 5। আক্রমণকারী তারপরে পরবর্তী অঙ্কটি অনুমান করতে থাকে।

শেষ পর্যন্ত, যদি আপনার সাইটটি এক্সএসএস প্রতিবিম্ব আক্রমণগুলিতে পূর্ণ থাকে তবে এর ডিফল্ট মান ব্যবহার 1করে আক্রমণ আক্রমণটি কিছুটা কমিয়ে দেয় reduce তবে, যদি আপনার সাইটটি সুরক্ষিত থাকে এবং আপনি নির্গমন না করেন তবে এই X-XSS-Protection: 0সাইটটি এই বৈশিষ্ট্যটি সমর্থন করে এমন কোনও ব্রাউজারের সাথে আপনার ঝুঁকি থাকবে। আপনি যদি নিজের সাইটে এখনও অজানা XSS দুর্বলতার বিরুদ্ধে ব্রাউজারগুলির গভীরতার সমর্থনে প্রতিরক্ষা চান, তবে কঠোর Content-Security-Policyশিরোনাম ব্যবহার করুন । এটি আপনার সাইটটি জ্ঞাত দুর্বলতার জন্য খুলবে না।

বর্তমানে এই বৈশিষ্ট্যটি এমএসআইই, সাফারি এবং গুগল ক্রোমে ডিফল্টরূপে সক্ষম হয়েছে। এটি এজে সক্ষম করা হত তবে মাইক্রোসফ্ট ইতিমধ্যে এজ থেকে এই ভুল বৈশিষ্ট্যটি সরিয়ে নিয়েছে । মোজিলা ফায়ারফক্স কখনই এটি প্রয়োগ করে নি।

আরো দেখুন:

https://homakov.blogspot.com/2013/02/hacking-facebook-with-oauth2-and-chrome.html https://blog.innerht.ml/the-misusedised-x-xss-protication/ http: / /p42.us/ie8xss/ অ্যাবসিং_আইই 8 এস_এক্সএসএস_ফিলার্স.পিডিএফ https://www.slideshare.net/masatokinugawa/xxn-en https://bugs.chromium.org/p/chromium/issues/detail?id=396544 https: // bugs.chromium.org/p/chromium/issues/detail?id=498982