谷歌准备放弃存在9年的XSS检测工具

谷歌正在移除其 Chrome 网络浏览器中已经存在 9 年的一个功能，该功能可以帮助避免一些潜在的在线攻击。不过，别担心——优化的保护方案也即将出台。

XSS Auditor

XSS Auditor 是 2010 年推出的一个内置 Chrome 函数，用于检测跨站点脚本(XSS)漏洞。在 XSS 攻击中，恶意行为者将自己的代码注入合法网站。他们可以通过在合法 URL 中添加恶意代码，或者将内容发布到存储和显示所发布内容的站点(持久性 XSS)来实现这一点。

当有人查看攻击者注入的代码时，它会在浏览器中执行一条命令，这条命令可以做任何事情，从窃取受害者的 cookie 到试图用病毒感染他们。

网站应该通过对用户提交的数据进行检查来防止此类攻击，但很多网站并没有这么做。

XSS Auditor 尝试在浏览器解析 HTML 时检测 XSS 漏洞。它使用块列表来识别请求参数中的可疑字符或 HTML 标记，并将它们与内容进行匹配，以发现将代码注入页面的攻击者。

有些开发人员的问题是，它不能捕获站点中的所有 XSS 漏洞。该特性没有发现的 XSS 代码(称为旁路)在网上很常见。

谷歌的工程师已经在使用 XSS Auditor 来筛选过滤可疑的 XSS 代码，而不是完全阻塞访问，以防止给大家带来“不良后果”，但这似乎还不够，现在他们想要完全消除它。

移除 XSS Auditor 后的影响

谷歌高级安全工程师 Eduardo Vela Nava 首次讨论取消 XSS Auditor 的计划时，他说：

我们没有发现任何证据表明XSS Auditor有效控制了XSS，相反，我们向开发人员解释为什么他们应该修复bug时遇到了很多的困难，即便浏览器显示攻击已经发生过了。在过去的3个月中，我们调查了所有触发XSS Auditor的内部XSS bug，并找到了所有这些bug的旁路。

虽然有一些阻力，但开发人员似乎已经达成了足够的共识，他们将继续推进该计划。谷歌安全工程师托马斯·塞佩兹周一宣布了这一声明，他说：

XSS检查经常被绕过，有时候也会阻止一些合法站点的工作。XSS漏洞一旦被发现，再采取行动实际已经晚了。它还会引入跨站点的信息泄漏。事实证明，很难修复所有的信息泄露。

如果没有 XSS Auditor，web 开发人员将如何检查他们的站点是否存在 bug ？Auditor 的另一个作用是在开发中提供帮助：一个称为可信类型的应用程序编程接口(API)。受信任类型默认情况下将用户输入视为不可信的，并强制开发人员在将其包含在 web 页面之前对其进行清理。

英文原文：https://nakedsecurity.sophos.com/2019/07/18/google-chrome-is-ditching-its-xss-detection-tool/)