Google删除Chrome的内置XSS保护

Google工程师计划删除Chrome安全功能，而该功能多年来一直未能达到应提供的保护水平。

名为XSS Auditor的功能在2010年随Google Chrome v4的发布而添加到Chrome中。

顾名思义，XSS Auditor会在网站的源代码中扫描看起来像跨站点脚本(XSS)攻击的模式，这些模式可能试图在用户的浏览器中运行恶意代码。

如果找到了已知的XSS模式，Chrome可能会删除恶意代码，或者可能完全阻止该网站的加载，并显示如下错误。

多年来，XSS Auditor一直是浏览器领域的独特功能，并已帮助Chrome与其他浏览器脱颖而出，成为唯一具有内置XSS保护功能的浏览器。

自发布以来，该功能已在附加组件的帮助下复制到其他浏览器中，其中最著名的是NoScript扩展，该扩展功能多年来一直具有XSS保护机制。

XSS AUDITOR现在充满漏洞

但是，7月15日星期一，Google工程师宣布了计划弃用Chrome并从Chrome中删除XSS Auditor的计划。

工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多XSS Auditor绕过技术。

尽管XSS Auditor推出后是一个著名的功能，但现在它已成为一条重点，漏洞发现者开玩笑说，直到找到XSS Auditor旁路，您才真正成为安全研究人员。在仅仅两分钟，ZDNet的发现10 XSS审计员无非谷歌搜索[更多旁路1，2，3，4，5，6，7，8，9，10 ]，和大量更是左侧的等待。

此外，修补所有XSS Auditor绕过漏洞的过程本身就给Chrome带来了漏洞。Chrome工程师Thomas Sepez 在Google Groups讨论中宣布弃用XSS Auditor时说，XSS Auditor引入了许多“跨站点信息泄漏”，并且“解决所有信息泄漏已证明很困难”。

还有误报的问题。XSS Auditor基于错误检测阻止了对合法站点的访问的情况。

这就是为什么随着Chrome 74的发布，Google将默认的XSS Auditor模式从“阻止”切换为“过滤器”的原因，这意味着自4月以来，XSS Auditor一直没有禁止访问包含XSS代码的网站，而是删除了代码，以减少其工程师收到的误报数量。

由TRUSTED TYPES API取代

弃用XSS Auditor组件的工作于去年10月开始。Google尚未指定要禁用的Chrome版本XSS Auditor，并最终将其从Chrome代码库中永久删除。

好消息是Google已经开始着手替代产品。2月份，Google宣布其工程师已经开发了Trusted Types浏览器API，这是针对基于DOM的XSS攻击的新防御方法，他们声称这将“ 消除DOM XSS”。

与作为Chrome组件的XSS Auditor不同，新的Trusted Types API是一种网络标准，理论上也可以与其他浏览器一起使用。

根据1月发布的Imperva报告，XSS漏洞是2014、2015、2016和2017年最普遍的基于Web的攻击形式。它们是去年第二大最常见的基于Web的攻击形式，仅在之所以排名靠前，是因为SQL注入攻击很少见。

XSS漏洞经常被公司和安全专家轻描淡写，因为它们并不总是对访问站点的用户造成直接损害。但是，它们通常是复杂漏洞利用例程中的第一个垫脚石，从而促进了更具破坏性的黑客攻击。在许多情况下，消除XSS攻击将使用户免受更复杂的攻击的威胁，而如果没有XSS的最初立足点，这将是不可能的。

除Chrome之外，还有XSS筛选器的另外两个浏览器是Internet Explorer和Edge。去年，Microsoft从Edge删除了XSS筛选器。操作系统和浏览器制造商引用了诸如内容安全策略之类的现代标准，这些标准可以更有效地阻止网站级别的XSS攻击。

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！