xss_check_status
Директива `xss_check_status` управляет обработкой ответов на основе HTTP-кодов состояния для защиты от межсайтового скриптинга в NGINX.
Описание
Директива xss_check_status в xss-nginx-module для NGINX позволяет администраторам указать, должен ли модуль проверять HTTP-коды состояния ответов. По умолчанию модуль обрабатывает только ответы со статусом 200 или 201, что обозначает успешный запрос. Такое поведение повышает безопасность, гарантируя, что для поддержки JSONP обрабатываются только корректные и ожидаемые ответы, защищая от возможных атак межсайтового скриптинга. Если директива установлена в 'off', модуль не будет ограничивать обработку только успешными статусами, что потенциально может привести к тому, что неподходящие ответы будут обработаны как допустимые. Директива принимает логический флаг в качестве аргумента — 'on' или 'off', и может использоваться в различных контекстах NGINX, таких как http, server, location или 'if' внутри блока location.
Пример конфига
location /example {
xss_get on;
xss_check_status on;
}Установка xss_check_status в 'off' может разрешить обработку нежелательных HTTP-статусов ответа, что потенциально повышает риск XSS-атак.
Некорректная настройка этой директивы может привести к непредвиденному поведению при обработке ответов, особенно в приложениях, критичных с точки зрения безопасности.