Gli attacchi cross-site scripting (XSS) sono un tipo di iniezione, in cui gli script dannosi vengono iniettati in siti Web altrimenti benigni e affidabili. Gli attacchi XSS si verificano quando un utente malintenzionato utilizza un’applicazione Web per inviare codice dannoso, generalmente sotto forma di uno script lato browser, a un utente finale diverso. I difetti che consentono a questi attacchi di avere successo sono piuttosto diffusi e si verificano ovunque un’applicazione Web utilizzi l’input di un utente all’interno dell’output che genera senza convalidarlo o codificarlo.
Un utente malintenzionato può utilizzare XSS per inviare uno script dannoso a un utente ignaro. Il browser dell’utente finale non ha modo di sapere che lo script non deve essere considerato attendibile ed eseguirà lo script. Poiché ritiene che lo script provenga da una fonte attendibile, lo script dannoso può accedere a qualsiasi cookie, token di sessione o altre informazioni riservate conservate dal browser e utilizzate con quel sito. Questi script possono persino riscrivere il contenuto della pagina HTML.
Per migliorare la sicurezza del tuo sito da alcuni tipi di attacchi XSS (cross-site scripting), ti consigliamo di aggiungere la seguente intestazione al tuo sito:
X-XSS-Protection: 1; mode=block
È supportato da IE (Internet Explorer) e Chrome. È possibile abilitarlo modificando le impostazioni di Apache o il .htacces file e aggiungendo la seguente riga:
Header set X-XSS-Protection "1; mode=block"