XSSを防ぐ新しいXSS-Protectionヘッダ - ASnoKaze blog

evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて

[y-kawaz]

通常、広告とかアナリティクスとか付けるからハッシュは使いにくそう、あと生アナリティクスならnonceでいけそうだがタグマネージャーみないなのは適用難しそうだな…。あとnonceはキャッシュとの兼ね合いも悩むな。

[tmatsuu]

む。nonceってことはユーザ毎に変えるってこと？ページキャッシュと相性が悪そうだが…なんかどこに向かってんのか分からなくなってきた。

[shomah4a]

naruhodo-

[TokyoIncidents]

これから議論だと思うので良い方向に進む事を期待しよう

[yosuke_furukawa]

なるほど。

[typex2]

XSS-Protectionヘッダの送出だってサーバーの設定をミスったらCSPと同じように意味がないってことはないのだろうか？

[yosida95]

うーん

[hirorock]

header

[Nyoho]

XSS-Protection header

[braitom]

“XSS-Protectionヘッダは、json形式のヘッダ値を持ちます”

[nilab]

「Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができ」

[matarillo]

へー

[mojimojikun]

(´・∀・｀)ﾍｰ

[rryu]

nonce付けるとか、完全に動的に出力する想定なんだな。

[asuka0801]

何故jsonにしてしまったのか・・・細かく設定できるのは良いっちゃ良いのだが

[Jxck]

x-xss-protection から xss-protection へ

[teppeis]

JSONヘッダーだ

[vanbraam]

b:id:entry:303668819の詳報.助かる;domainだと粒度が大きすぎるのでelement毎に制御可能に,と解釈したが,細かい制御を面倒がると結局同じ事になりそう.nonceを使う手法は,nonceがバレたら悪用されそう.cryptographyどこいったのだろう?

[efcl]

`XSS-Protection`について。nonce

[uokada]

実用イメージがイマイチ分からんので勉強しよ。

[bottomzlife]

なんかJSONのパース部分とスクリプトのメッセージダイジェスト算出の部分でむっちゃデンジャラスなことが起きそうな誘い受け仕様な気がするんだぜ…

[Fushihara]

httpヘッダにjsonを載せちゃうのか・・。なんか、もういっぱいいっぱいだな