Рейтинг:0

Заголовки безопасности Проблема с X-XSS-защитой

флаг us

Есть ли проблемы с добавлением 'Строгая транспортная безопасность' и 'X-XSS-защитазаголовки?

Набор заголовков Strict-Transport-Security "max-age=10886400;
Заголовок установил X-XSS-Protection "1; режим=блок"

Я не указал «включить субдомены» для заголовка HSTS, потому что не был уверен, что мы всегда хотим использовать их через HTTPS. В частности, я видел, что это вызывает проблемы со страницами HubSpot и/или CDN (замедление доставки CDN, а не проблемы с разрешением).

современные браузеры могут даже не реализовывать XSS-фильтрацию, верно?

если я не ошибаюсь, современные браузеры предпочитают это, верно? https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Content-Security-Policy

Наш WAF также будет блокировать XSS-инъекции, поэтому заголовок фактически не вступит в силу.

Является Политика CSP реализация поможет? что тут лучше посоветуете?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.