Google删除Chrome的内置XSS保护

Google工程师计划删除Chrome安全功能，而该功能多年来一直未能达到应提供的保护水平。

名为XSSAuditor的功能在2010年随GoogleChromev4的发布而添加到Chrome中。

顾名思义，XSSAuditor会在网站的源代码中扫描看起来像跨站点脚本(XSS)攻击的模式，这些模式可能试图在用户的浏览器中运行恶意代码。

如果找到了已知的XSS模式，Chrome可能会删除恶意代码，或者可能完全阻止该网站的加载，并显示如下错误。

多年来，XSSAuditor一直是浏览器领域的独特功能，并已帮助Chrome与其他浏览器脱颖而出，成为唯一具有内置XSS保护功能的浏览器。

自发布以来，该功能已在附加组件的帮助下复制到其他浏览器中，其中最著名的是NoScript扩展，该扩展功能多年来一直具有XSS保护机制。

XSSAUDITOR现在充满漏洞

但是，7月15日星期一，Google工程师宣布了计划弃用Chrome并从Chrome中删除XSSAuditor的计划。

工程师列举了删除该功能的几个原因。提到的第一个是在过去几年中发现的众多XSSAuditor绕过技术。

尽管XSSAuditor推出后是一个著名的功能，但现在它已成为一条重点，漏洞发现者开玩笑说，直到找到XSSAuditor旁路，您才真正成为安全研究人员。在仅仅两分钟，ZDNet的发现10XSS审计员无非谷歌搜索[更多旁路1，2，3，4，5，6，7，8，9，10]，和大量更是左侧的等待。

此外，修补所有XSSAuditor绕过漏洞的过程本身就给Chrome带来了漏洞。Chrome工程师ThomasSepez在GoogleGroups讨论中宣布弃用XSSAuditor时说，XSSAuditor引入了许多跨站点信息泄漏，并且解决所有信息泄漏已证明很困难。

还有误报的问题。XSSAuditor基于错误检测阻止了对合法站点的访问的情况。

这就是为什么随着Chrome74的发布，Google将默认的XSSAuditor模式从阻止切换为过滤器的原因，这意味着自4月以来，XSSAuditor一直没有禁止访问包含XSS代码的网站，而是删除了代码，以减少其工程师收到的误报数量。

由TRUSTEDTYPESAPI取代

弃用XSSAuditor组件的工作于去年10月开始。Google尚未指定要禁用的Chrome版本XSSAuditor，并最终将其从Chrome代码库中永久删除。

好消息是Google已经开始着手替代产品。2月份，Google宣布其工程师已经开发了TrustedTypes浏览器API，这是针对基于DOM的XSS攻击的新防御方法，他们声称这将消除DOMXSS。

与作为Chrome组件的XSSAuditor不同，新的TrustedTypesAPI是一种网络标准，理论上也可以与其他浏览器一起使用。

根据1月发布的Imperva报告，XSS漏洞是2014、2015、2016和2017年最普遍的基于Web的攻击形式。它们是去年第二大最常见的基于Web的攻击形式，仅在之所以排名靠前，是因为SQL注入攻击很少见。

XSS漏洞经常被公司和安全专家轻描淡写，因为它们并不总是对访问站点的用户造成直接损害。但是，它们通常是复杂漏洞利用例程中的第一个垫脚石，从而促进了更具破坏性的黑客攻击。在许多情况下，消除XSS攻击将使用户免受更复杂的攻击的威胁，而如果没有XSS的最初立足点，这将是不可能的。

除Chrome之外，还有XSS筛选器的另外两个浏览器是InternetExplorer和Edge。去年，Microsoft从Edge删除了XSS筛选器。操作系统和浏览器制造商引用了诸如内容安全策略之类的现代标准，这些标准可以更有效地阻止网站级别的XSS攻击。