浏览器的X-XSS-Protection/XSS Auditor是否足以阻止XSS？

Question

据我所知，我需要在报头服务器端禁用X- XSS -Protection，以防止XSS通过GET请求发生。

例如，用户浏览到

http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>

假设$_GET' page‘被从PHP回显到页面，而没有以任何方式被更改，XSS Auditor应该捕捉到被回显到页面的请求中有一些东西，并停止它。

这是否足以防止XSS攻击，或者攻击者是否可以绕过此浏览器保护？

这意味着它被所有主流浏览器所支持，并且是不可绕过的。

Answer 1

没关系，您请。客户端XSS过滤试图解决客户端的服务器端问题(缺少输出转义)，因为客户端没有足够的知识来解决这个问题。它永远不会100%工作，而且总是会产生假阳性。这是一种深度防御措施，也是一个非常值得怀疑的措施。您的不能仅仅依靠它作为的解决方案。

客户端XSS过滤：

• 不能防御多个反射的parameters;
• can't (即在一个参数中包含script，在另一个参数中包含输出)；
• 不能防御特定于应用程序的编码层(例如，以JSON格式提交，在没有XSS的情况下解码和显示)；
• 不能防御表单XSS之外的输入类型；基于将其他内容插入到页面而不是脚本来防御攻击；
• 在防御模糊的脚本注入方式方面有非常参差不齐的历史；
• 根本无法防御存储的XSS；并不是所有流行的browsers;
• allows都支持
• ，攻击者可以有选择地禁用页面上的脚本，破坏页面。

这不是胜利。

Answer 2

我不建议依赖用户的浏览器来提供任何类型的保护，因为浏览器的版本和类型总是不可预测的。这意味着您需要确保在服务器/应用程序级别采取所有措施来防止XSS (或任何其他类型的攻击)。

Answer 3

它可能足以捕获反射的XSS攻击，但却无法阻止危害更大的持续性XSS攻击。此外，并不是所有的浏览器都有XSS保护。您真的希望只有一些用户因为您忽略了避开输出而受到保护吗？在适当的位置进行转义将修复这两种类型的XSS，即使在浏览器缺乏XSS保护的情况下也是如此。