Bye👋🏼 XSS Auditor (X-XSS-Protection)

이번 Webkit(Safari 15.4) 업데이트에는 중요한 보안 정책 변경이 있었습니다. X-XSS-Protection으로 잘 알려진 XSS Auditor가 제거됩니다.

XSS Auditor는 Refelcted XSS를 완화하기 위한 디자인이자 보안 정책으로 HTML Parsing 단계에서 웹 요청이 response에 어떻게 반응하는지 체크하고, XSS의 가능성이 있으면 차단하는 기능입니다. 개발자가 이를 Response 내 X-XSS-Protection 헤더를 통해 컨트롤할 수 있도록 제공되고 있습니다.

이는 WebKit의 CSP(Content-Security-Policy) 지원 범위가 Level3에 도달하여 CSP로도 충분히 대응이 가능하기 때문이라고 판단되어 제거된다고 하네요. Chrome의 경우 Chrome 78 버전(2019년 8월쯤), Firefox 또한 예전에 종료되었던 상태라 이제 메이저 3사 브라우저에선 모두 지원하지 않는 기능, 헤더가 되었습니다.

이제 Safari도 X로...

이렇게 또 하나의 기능이 역사속으로 사라집니다 👋🏼

https://www.w3.org/TR/CSP3/
https://webkit.org/blog/12445/new-webkit-features-in-safari-15-4/#security
https://twitter.com/hahwul/status/1503526905080811521
https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cross-Origin-Embedder-Policy
https://www.chromium.org/developers/design-documents/xss-auditor/
https://developer.mozilla.org/ko/docs/Web/HTTP/Headers/X-XSS-Protection