HTTP X-XSS-Protection 缺失

发表于2022-11-23|更新于2025-08-27|漏洞篇

|总字数:412|阅读时长:1分钟|浏览量:

0x01 漏洞描述

- HTTP X-XSS-Protection 缺失 -

Web 服务器对于 HTTP 请求的响应头缺少 X-XSS-Protection，这意味着此网站更易遭受跨站脚本攻击（XSS）。X-XSS-Protection 响应头是 Internet Explorer、Chrome 和 Safari 的一个特性，当检测到跨站脚本攻击（XSS）时，浏览器将停止加载页面。

X-Frame-Options 可选配置的值如下：

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0：禁止 XSS 过滤。
1：启用 XSS 过滤（通常浏览器是默认的）。如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。
1; mode=block：启用 XSS 过滤。如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。
1; report=<reporting-uri> (Chromium only)：启用 XSS 过滤。如果检测到跨站脚本攻击，浏览器将清除页面并使用 CSP report-uri 指令的功能发送违规报告。

0x02 漏洞等级

威胁级别

高危

中危

低危

0x03 漏洞验证

可使用验证工具列举如下：

在线检测网站：https://securityheaders.com/?q=http://www.luckysec.cn/
curl 命令工具：curl -I "http://www.luckysec.cn/"
浏览器工具： F12 打开浏览器控制台网络查看网站响应头。
网络抓包工具：常用BurpSuite等工具。

检测目标网站 HTTP 响应头 X-XSS-Protection 缺失。

0x04 漏洞修复

修改网站配置文件，推荐在所有传出请求上发送值为 1; mode=block 的 X-XSS-Protection 响应头。
X-XSS-Protection 配置详解：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/X-XSS-Protection

文章作者: 鸣剑

文章链接: http://www.mkeysafe.com/posts/cd25b617.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源鸣剑Sec！

HTTP 配置不当

相关推荐

HTTP Strict-Transport-Security 缺失

Web 服务器对于 HTTP 请求的响应头缺少 Strict-Transport-Security，这意味着此网站更易遭受跨站脚本攻击（XSS）。Strict-Transport-Security 响应头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型的设定，而不能对其进行修改，这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型，有些资源的 Content-Type 是错的或者未定义，这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性，攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。

HTTP X-Content-Type-Options 缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-Content-Type-Options，这意味着此网站更易遭受跨站脚本攻击（XSS）。X-Content-Type-Options 响应头相当于一个提示标志，被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型的设定，而不能对其进行修改，这就禁用了客户端的 MIME 类型嗅探行为。浏览器通常会根据响应头 Content-Type 字段来分辨资源类型，有些资源的 Content-Type 是错的或者未定义，这时浏览器会启用 MIME-sniffing 来猜测该资源的类型并解析执行内容。利用这个特性，攻击者可以让原本应该解析为图片的请求被解析为 JavaScript 代码。

HTTP X-Frame-Options 缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-Frame-Options，这意味着此网站存在遭受点击劫持攻击的风险。X-Frame-Options 响应头可被用于指示允许一个页面可否在 frame、iframe、embed 或者 object 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免点击劫持攻击。

不安全的 HTTP 方法

目标服务器启用了不安全的HTTP方法，例如PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE等。不合理的权限配置有可能允许未授权的用户对其进行利用，例如攻击者可以通过PUT方法直接上传WebShell文件到有写权限的目录，从而控制网站。

会话 Cookie 未设置 HttpOnly 属性

Web 应用程序设置了不含 HttpOnly 属性的会话 Cookie，因此注入站点的恶意脚本可能访问并窃取 Cookie 值。任何存储在会话令牌中的信息都可能会被窃取，它们可能被用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。JavaScript Document.cookie API 无法访问带有 HttpOnly 属性的 Cookie，此类 Cookie 仅作用于服务器。例如，持久化服务器端会话的 Cookie 不需要对 JavaScript 操作，而应具有 HttpOnly 属性。会话 Cookie 设置 HttpOnly 属性，此预防措施有助于缓解跨站点脚本（XSS）攻击。

会话 Cookie 未设置 Secure 属性

Web 应用程序设置了不含 Secure 属性的会话 Cookie，这意味着 Cookie 信息在传递的过程中容易被监听捕获造成信息泄露。标记为 Secure 的 Cookie 只会通过被 HTTPS 协议加密过的请求发送给服务端进行会话验证，它永远不会使用不安全的 HTTP 发送传输（本地主机除外），这意味着中间人攻击者无法轻松访问它。此外，在不安全的站点（在 URL 中带有 `http://`）无法使用 Secure 属性设置的 Cookie 值。

数据加载中