谷歌正在移除其Chrome网络浏览器中已经存在9年的一个功能,该功能可以帮助避免一些潜在的在线攻击。不过,别担心——优化的保护方案也即将出台。
XSS Auditor
XSS Auditor是2010年推出的一个内置Chrome函数,用于检测跨站点脚本(XSS)漏洞。在XSS攻击中,恶意行为者将自己的代码注入合法网站。他们可以通过在合法URL中添加恶意代码,或者将内容发布到存储和显示所发布内容的站点(持久性XSS)来实现这一点。
当有人查看攻击者注入的代码时,它会在浏览器中执行一条命令,这条命令可以做任何事情,从窃取受害者的cookie到试图用病毒感染他们。
网站应该通过对用户提交的数据进行检查来防止此类攻击,但很多网站并没有这么做。
XSS Auditor尝试在浏览器解析HTML时检测XSS漏洞。它使用块列表来识别请求参数中的可疑字符或HTML标记,并将它们与内容进行匹配,以发现将代码注入页面的攻击者。