Saltar al contenido
Think Tecno

¿Qué hace X-XSS-Protection?

X-XSS-Protection era un encabezado de seguridad que existe desde la versión 4 de Google Chrome. Fue diseñado para habilitar una herramienta que controlaba el contenido del sitio web para la creación de secuencias de comandos entre sitios reflejados. Todos los navegadores principales han dejado de admitir el encabezado, ya que terminó introduciendo agujeros de seguridad. Se recomienda encarecidamente que no configure el encabezado en absoluto y, en su lugar, configure una política de seguridad de contenido sólida.

Sugerencia: Cross-Site Scripting generalmente se abrevia como «XSS».

El scripting reflejado entre sitios es una clase de vulnerabilidad XSS en la que el exploit se codifica directamente en la URL y afecta solo al usuario que visita la URL. XSS reflejado es un riesgo cuando la página web muestra datos de la URL. Por ejemplo, si una tienda web le permite buscar productos, puede tener una URL similar a este «sitio web.com/search?term=gift» e incluir la palabra «regalo» en la página. El problema comienza si alguien inserta JavaScript en la URL, si no se desinfecta correctamente, este JavaScript podría ejecutarse en lugar de imprimirse en la pantalla como debería ser. Si un atacante puede engañar a un usuario para que haga clic en un enlace con este tipo de carga útil XSS, es posible que pueda realizar operaciones como la detección de sesiones.

X-XSS-Protection estaba destinado a detectar y prevenir este tipo de ataque. Desafortunadamente, se detectaron numerosas omisiones e incluso vulnerabilidades en la forma en que funcionaba el sistema a lo largo del tiempo. Estas vulnerabilidades significaron que la implementación del encabezado X-XSS-Protection introduciría una vulnerabilidad de secuencias de comandos entre sitios en un sitio web seguro.

LEER
Dropbox: cómo habilitar el bloqueo de contraseña

Para protegerse contra esto, en el entendimiento de que el encabezado de la Política de seguridad de contenido, generalmente abreviado como «CSP», incluye la funcionalidad para reemplazarlo, los desarrolladores del navegador han decidido retirar la funcionalidad. La mayoría de los navegadores, incluidos Chrome, Opera y Edge, han eliminado el soporte o, en el caso de Firefox, nunca lo implementaron. Se recomienda a los sitios web que deshabiliten el encabezado para proteger a los usuarios que todavía usan navegadores heredados con la función habilitada.

X-XSS-Protection se puede reemplazar con la configuración «insegura en línea» en el encabezado CSP. Ser capaz de habilitar esta configuración puede requerir mucho trabajo dependiendo del sitio web, ya que significa que todo JavaScript debe estar en scripts externos y no se puede incluir directamente en el HTML.