谷歌发布 XS-Leaks 漏洞知识库

谷歌表示，XSS 漏洞产生的根因使现代 Web 应用你滥用长期存在的 Web 平台行为，从而导致网站泄露用户信息或者泄露用户输入其它 Web 应用中的信息。

由于XS-Leaks 漏洞大开攻击之门而全面防御措施的部署非常复杂，因此对于安全工程师和 Web 浏览器开发人员而言颇具挑战性。

XS-Leaks 维基旨在帮助安全社区更好地理解这些问题并改进防御措施。实际上，谷歌已经邀请安全研究员帮助扩展该维基并共享关于新型攻击活动和防御措施的详情。

XS-Leaks 维基网址为 xsleaks.dev，它提供了关于导致跨站泄漏原则的信息，包括关于每种跨站泄漏及其含义和缓解技术的段文章，以及演示 PoC 代码。它的另一个作用是帮助 Web 开发人员理解浏览器中的防御机制如何使得应用程序免受跨站点泄漏影响。

谷歌解释称，“维基中描述的每种攻击都配有可阻止或缓解它的安全功能概览；该维基旨在提供协助开发人员采用新型浏览器安全功能如 Fetch Metadata Request Headers（提取元数据请求标头）、Cross-Origin Opener Policy（跨源开放策略）、Cross-Origin Resource Policy（跨源资源策略）和 SameSite cookie 等的可行指南。”

谷歌提倡安全社区助力扩展 XSS-Leaks 维基，补充关于攻防技术详情，表示该网站可能推动关于缓解重大 Web 安全威胁的研究工作。