Hebikuzure's Tech Memo

2011年4月22日

[IEInternals] XSS フィルターを制御する

Filed under: Internet Explorer — hebikuzure @ 7:39 PM

Controlling the XSS Filter 
http://blogs.msdn.com/b/ieinternals/archive/2011/01/31/controlling-the-internet-explorer-xss-filter-with-the-x-xss-protection-http-header.aspx


ようやく医者から日常に復して問題なしとの診断を得ましたので、まず足慣らしに Twitter で @hasegawayosuke さんと話題にしていた X-XSS-Protection ヘッダーについての EricLaw’s IEInternals の記事を私訳してみました。

以下の文章は EricLaw’s IEInternals の 1/31 の記事 Controlling the XSS Filter を hebikuzure が私的に試訳したものです。翻訳については Microsoft Corporation および日本マイクロソフト株式会社とは無関係に hebikuzure が公開情報に基づき独自に行ったものであり、この文書の内容についての文責は公開者である hebikuzure にあります。翻訳の内容および技術的内容については正確を期すよう十分な注意を払っておりますが、誤りや不正確な部分が含まれている可能性がありますので、本文書を利用される際には原文も併せてご確認ください。


XSS フィルターを制御する

2011年1月31日 午前9時36分

Internet Explorer 8 には、XSS フィルターとして知られている、反射型クロスサイト スクリプティング攻撃を防止するのに有効な画期的新機能があります。このフィルターは既定ではインターネット ゾーン、信頼済みサイト ゾーン、制限付きサイト ゾーンで動作します。ローカル イントラネット ゾーンのページでは以下のようなヘッダーを利用する事で防御機能を有効にできます:

X-XSS-Protection: 1

クロスサイト スクリプティング攻撃が検知されると、Internet Explorer 8 および 9は攻撃をブロックするためにサーバーから返された Web ページに可能な限り最小限の修正を加えようとします。こちらにその例があります。多くの場合、修正は返されたページ中の 1 つまたは複数の文字を一文字 (“#”) に変更し、アウトバウンドの HTTP リクエストを反映したスクリプトを損壊させます。

サーバー サイドのロジックで XSS に対して安全なページは、以下のような HTTP レスポンス ヘッダーを使ってこの防御機能を無効にできます:

X-XSS-Protection: 0

2010年3月に、IE8 に対して X-XSS-Protection ヘッダーに mode=block というトークンを追加しました。

X-XSS-Protection: 1; mode=block

このトークンが存在する場合、潜在的な反射型 XSS 攻撃が検知されると、Internet Explorer はページをレンダリングしません。ページをサニタイズして外科的に XSS 攻撃を除去するのではなく、IE は “#” だけ表示します。XSS フィルターのブロック モードはこちらで試せます。

-Eric Lawrence

広告

コメントする »

まだコメントはありません。

RSS feed for comments on this post. TrackBack URI

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

WordPress.com Blog.

%d人のブロガーが「いいね」をつけました。