내가 이해하는 것처럼 XSS가 GET 요청을 통해 발생하는 것을 방지하기 위해 서버 측 헤더에서 X-XSS- 보호를 비활성화해야합니다.브라우저의 X-XSS- 보호/XSS 감사 기는 XSS를 막기에 충분한가?
예를 들어, 사용자는
http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>
는 $ _GET은 [ '페이지'] 어떠한 방법 으로든 변경하지 않고 PHP에서 페이지로 반향되면, XSS 감사 물건이 있음을 잡을 것을 가정하는 탐색 요청이 페이지에 에코되고이를 멈추게합니다.
XSS 공격을 막기에 충분합니까? 아니면이 브라우저 보호가 공격자에 의해 우회 될 수 있습니까?
모든 주요 브라우저에서 지원되며 우회 할 수 없다는 의미입니다.