web-dev-qa-db-ja.com

Google Chromeはクロスサイトスクリプティング(XSS)から保護しますか?

Firefoxでは NoScript 拡張機能を使用して、特定の種類のマルウェア攻撃から身を守っています。 NoScriptはFirefoxの非常に強力な拡張機能としてよく知られており、[〜#〜] xss [〜#〜]およびclickjacking攻撃は'07までさかのぼります。

私はChromeで同様の保護を探していましたが、私が見つけた最良のものは ScriptNo で、そのような種類の保護については特に言及していません(クロスドメインXMLについてのみ言及しています)。

Google Chromeクロスサイトスクリプティング(XSS)から保護しますか?(たとえば、これはサンドボックスによって受動的に実現されますか?)

13
user10356

Chromeには、Reflective XSS攻撃に対するデフォルトの保護機能があります。これはサンドボックスで対処できる欠陥ではありません。この保護システムは、JavaScriptの発信要求を調べ、そのJavaScriptがHTTP応答で実行されるのを防ぐことで機能します。 DOMベースのXSSまたは保存されたXSSを妨げるブラウザーはありません。

Chromeの保護は、他のChromeと比較すると最も弱いです。 IEのxssフィルターはあまり良くありません ですが、Chromeのフィルターより少し優れています。私の研究から、NoScriptは断然最高です。私は NoScriptのXSSフィルターをバイパス を使用してコンテンツの無感覚を悪用し、問題をすばやく修正しました。 ChromeとIEは依然としてコンテンツ非依存攻撃に苦しんでいます。

Microsoftは、IEに対するコンテンツ非依存性攻撃は「脆弱性ではない」ため、これらの問題を修正することは決してありませんと述べています。= Chromeは、この問題のバグレポートを開いていて、約6か月間活動がないので、chromeは最終的にそれを修正する可能性があります多分これらはどちらも正直に言うと恐ろしいベンダーの反応です。一般的に、NoScriptとMozillaはソフトウェアの脆弱性に対して最も強力な反応を示し、彼らは一緒に仕事をする喜びです!

13
rook