또..또..Response Header를 안봐서 공부하는 글이다..
X-XSS-Protection
해당 기능은 Internet Explorer, Chrome 및 Safari에서 제공하는 기능으로, XSS를 실행시킬 수 없도록 한다. 사용되는 형식은 아래와 같다.
X-XSS-Protection:0
-> XSS 팔터링 비활성화
X-XSS-Protection:1
-> XSS 필터링 활성화
X-XSS-Protection:1; mode=block
-> XSS 필터링 활성화 및 페이지 렌더링 중지
X-XSS-Protection:1;report=<reporting-uri>
-> XSS 필터링 활성화 및 페이지 렌더링 중지 후 위반 사항 보고그리고 해당 기능은 브라우저와 버전을 타기 때문에 일부 브라우저에서는 작동하지 않을 수 있다. 개인적인 생각이지만 현재 기준 Chrome의 버전은 114인것으로 보아 꽤나 옛날에 목적을 다한 기능인 것 같다.
대신 최신 브라우저에서는 CSP(Content Security Policy)라는 기능을 제공하는데 해당 기능도 브라우저와 버전을 타긴 하지만 꽤 많은 기능을 제공하는 것으로 보인다. xss 방지, 콘텐츠 출처 제한, 리소스 유형 제한, 보안 보고서 수집, click-jacking 방지 등의 역할을 한다고 한다
그리고 몰랐는데 Burp Suite에서 해당 기능을 비활성화하는 march & replace가 기본으로 있었다. Burp 기능만 더 공부해도 꽤나 지식이 늘어날 것 같다.
결론적으로 X-XSS-Protection을 통해 일부 XSS 구문을 막아줄 수는 있으나 일부는 막지못하거나 우회될 수 있으며 브라우저와 브라우저의 버전에 따라 작동하지 않을 수 있어 적절한 보안대책이라고 보기 어렵다. 또한 해당 기능은 설정을 통해 사용자측에서 끌 수 있어 브라우저 및 브라우저 버전이 적절하여 해당 기능을 사용할 수 있더라도 기능을 사용하고 있지 않으면 공격에 그대로 노출될 수 있다.
출처
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
https://bziwnsizd.tistory.com/50
