X-XSS-Protection은 Cross-Site Scripting(XSS) 공격이 감지되었을 때, 페이지 로딩을 멈추도록 하는 Internet Explorer와 Crome의 기능입니다.
이러한 보호는 사이트가 Inline Javascript(unsafe-inline)의 사용을 비활성화하도록 강력하게 Content Security Policy를 구현했을 때, 모던 브라우저에서는 거의 필요하지 않을 수는 있습니다. 그러나 아직 CSP를 지원하지 않는 이전 웹 브라우저의 사용자에게는 여전히 보호 기능을 제공할 수 있습니다.
새로운 웹 사이트는 이 헤더를 사용해야 하지만, 오탐지 위험이 적기 때문에, 기존 사이트에만 권장됩니다.
이 헤더는 API에 필요하지 않으며, 대신 제한적인 Content Security Policy 헤더를 반환해야 합니다.
예시
# XSS 공격을 감지하면 페이지가 로드되지 않도록 차단
X-XSS-Protection: 1; mode=block참고
https://infosec.mozilla.org/guidelines/web_security#x-xss-protection
Web Security
The goal of this document is to help operational teams with creating secure web applications. All Mozilla sites and deployments are expected to follow the recommendations below. Use of these recommendations by the public is strongly encouraged. The Securit
infosec.mozilla.org
'IT > 공통' 카테고리의 다른 글
| [정리] 브라우저 동작 원리 (0) | 2022.01.16 |
|---|---|
| REST API 정리 (0) | 2022.01.07 |
| [Web Security] X-Frame-Options 헤더 (0) | 2021.10.08 |
| [npm] 패키지 설치 시, ENOSELF 에러 (0) | 2020.03.04 |
| npm install -g 시, 발생하는 Permission Denied Error (0) | 2020.03.01 |
댓글