(ブロ')グ

ブログって単語は両側に括弧つけると顔文字っぽい。(プロ')グ

X-XSS-Protection ヘッダー(XSS Filter) の実装

 

IE8以降から、ブラウザ側でXSS対策をしてくれる機能がついているようです。

http://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_05.html

HTTPヘッダーに以下のヘッダーをつけると、ブラウザ側でXSSを検知した場合は、ブロックしてくれるみたいです。

X-XSS-Protection: 1; mode=block

 

http://hebikuzure.wordpress.com/2011/04/22/ieinternals-xss-%E3%83%95%E3%82%A3%E3%83%AB%E3%82%BF%E3%83%BC%E3%82%92%E5%88%B6%E5%BE%A1%E3%81%99%E3%82%8B/

↑こちらのサイトに動作確認用のページが紹介されていたのでチェックしたところ

検知されているようですね。

http://www.enhanceie.com/test/xss/

f:id:nightyknight:20120717011124p:plain

 

IE以外でもChromeSafariでも対応しているみたいです。

FireFoxの場合は、「X-Content-Security-Policy」を使うといいのかな。

 

これ、ユーザ側で任意に指定できたら良いと思うんだけど、HTTPヘッダーとして実装しているのはなんでなんでしょうかね。

対応している大手サイトはGoogleTwitterFacebookあたりかな。

 

そういえば、wordpress.comのHTTPヘッダーを見ていたら、

X-hacker:If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.

「もし、君がこれを見たのなら、automattic.com/jobsに訪れて、参加表明をして、このヘッダーのことをちょっと言ってくださいね。」

みたいなことが書かれてました。さり気なく社員募集していますねw。

もしかしたら他のサイトも似たことやっているかも。