読者です 読者をやめる 読者になる 読者になる

舞台裏

Qiita が表でこっちが裏。こっそりやっていく。

X-XSS-Protection を試した

<%@page contentType="text/html" pageEncoding="UTF-8"%>
<!doctype html>
<html>
    <head>
        <meta charset="utf-8" />
        <title>Reflected XSS</title>
    </head>
    <body>
        <h1>Reflected XSS</h1>
        
        ${param["q"]}
    </body>
</html>

こんな感じの JSP を作って、 “?q=“ みたいなクエリパラメータを乗せたリクエストを送る。

X-XSS-Protection ヘッダーが設定されていない場合、 IE11 だとスクリプトがそのまま実行されて、反射型 XSS が実行できることが確認できた。

Chrome の場合はヘッダーがついていなくても XSS を検知してページが表示されなかった。

ところで ChromeXSS を検知したときにでるエラーメッセージ ERR_BLOCKED_BY_XSS_AUDITORGoogle 検索すると、 IE にしたり Firefox にしたり、はては Chrome のバージョン下げれば解決するよって言ってるのがちらほら見つかるけどええんかな。