在一系列质疑此功能有效性的漏洞之后,Google从Chrome浏览器中删除了XSS Auditor。
前几天,Chromium的开发人员于7月16日在该项目的Google网上论坛中
宣布 ,Anti-XSS技术已被淘汰,并计划将其删除。
从Chromium开发人员的
讨论来看,此决定与阻止许多受信任站点的页面有关。
自2010年在Chrome 4中引入XSS Auditor以来,引起了广泛的争论。 在其存在期间,发现了导致该技术被拒绝的许多缺点。
最初,XSS Auditor以过滤模式工作:加载了Web资源,但是可疑代码被阻止了,但这并不能阻止我们找到许多绕过保护的方法。
随着时间的流逝,Chrome开发人员决定将默认行为切换为锁定模式。 但是,这种防御方法容易受到
XS-Search / XS-Leak攻击。 而且,它经常导致对可信赖资源的误报,并导致对浏览器用户的阻止。
最近,Auditor重新开始使用默认过滤模式(最有可能的方法是减少误报并阻止受信任的站点,从而减少负面影响)。
但是这个决定很快就引起了人们对该保护机制有效性的怀疑。 正如Frederik Braun(Mozilla)在与Mario Heiderich(Cure53)进行的一项联合研究中指出的那样,研究
“ X-Frame-Options:All about Clickjacking?” ,过滤模式是一种危险的方法,可以通过将
X-XSS-Protection标头设置为
1来替换它
: 模式=块 ,原则上也不是灵丹妙药。
值得注意的是,Chromium开发人员早在2018年10月就提出了放弃XSS Auditor的流程。 指出
“没有证据表明审计师正在停止任何XSS 。
”
将来,计划使用Trusted Types API标准,该标准很有可能不仅可以在Google Chrome中应用。