Google将删除Chrome内置的XSS保护（XSS Auditor）

XSS Auditor在阻止XSS攻击方面效率太低，而且需要花大力气来维护。为此，Google将删除Chrome内置的XSS保护。谷歌工程师计划删除一项Chrome安全功能，该功能一直与多年来提供的保护措施不相符。

这款名为XSS Auditor的功能是在2010年随着Google Chrome v4的发布而添加到Chrome中的。顾名思义，XSS Auditor负责扫描网站的源代码，寻找类似跨站点脚本（XSS）攻击的模式，这种攻击可能试图在用户的浏览器中运行恶意代码。

如果找到已知的XSS模式，Chrome可能会删除恶意代码，或者可能阻止网站完全加载，显示如下所示的错误。

多年来，XSS Auditor一直是浏览器保护领域的一个独特功能，并帮助Chrome从其他浏览器中脱颖而出，成为唯一一个内置XSS保护功能的浏览器。

自XSS Auditor推出以来，其他浏览器也通过附件扩展了该功，其中最着名的是NoScript扩展，它多年来一直具有XSS保护机制。

不过，XSS Auditor现在漏洞百出。在7月15日，谷歌工程师宣布了删除Chrome中的XSS Auditor的计划。

工程师列举了删除该功能的几个原因，其中最主要的原因就是过去几年发现XSS Auditor绕过方法太多了。虽然XSS Auditor在刚刚推出之后反响很好，但现在它却成了一个笑话，以至于有人开玩笑说，如果你还没有在XSS Auditor发现过一个绕过方法，那就不算是真正的安全研究人员。经过实际测试，在短短的两分钟内，ZDNet就发现十个绕过XSS Auditor的方法。

此外，修补XSS Auditor绕过漏洞的过程本身也已经给Chrome带来了很多攻击面。Chrome工程师托马斯•塞佩兹表示：

“XSS Auditor已经引入了许多跨站点信息泄漏，并且修复所有信息泄漏已经证明是困难的。”

另外，XSS Auditor还有大量误报的问题，它根据错误检测而阻止合法站点的访问情况最近经常出现。这就是为什么随着Chrome 74的发布，Google将默认的XSS Auditor模式从“阻止”切换为“过滤”，这意味着自4月以来，XSS Auditor一直没有执行阻止访问包含XSS代码的网站，而是删除了代码，试图减少其工程师所获得的误报报告的数量。

XSS Auditor将被可信类型API替换

去年10月，Google就已经开始着手弃用XSS Auditor组件。不过目前谷歌尚未指定哪些Chrome版本将禁用XSS Auditor，并最终从Chrome代码库中将其删除。

好消息是，谷歌已经找到了备用方案。今年2月，谷歌宣布其工程师开发了可信类型浏览器API，这是对基于DOM的XSS攻击的新防御策略，他们声称这将彻底杜绝DOM XSS(DOM型跨站脚本攻击) 。

与作为Chrome组件的XSS Auditor不同，新的可信类型API是一种Web标准，理论上也可以其他浏览器也可以使用该标准。

Impervahttps://www.imperva.com/blog/the-state-of-web-application-vulnerabilities-in-2018/在今年1月发布的一份报告显示，XSS漏洞是2014年、2015年、2016年和2017年最常见的网络攻击形式。它们是去年第二大最常见的基于web的攻击形式。

因为它们并不总是对访问站点的用户造成直接损害，公司和安全专家经常忽略XSS漏洞。然而，它们往往是复杂的漏洞利用的攻击起始点，可以促进更具破坏性的攻击。在许多情况下，彻底杜绝XSS攻击可以使用户免受更复杂的攻击，如果没有XSS提供的初始攻击点，这些攻击是不可能发生的。

除了Chrome之外，另外两个使用XSS过滤器的浏览器是Internet Explorer和Edge。 Microsoft去年已经从Edge中删除了XSS过滤器，并引用了内容安全策略等现代标准，事实证明这可以更有效地在网站层面阻止XSS攻击。