影响谷歌、微软、苹果和火狐浏览器

据BleepingComputer消息，近日，波鸿鲁尔大学 (RUB) 和 Niederrhein 应用科学大学的安全研究人员发现了14种针对网络浏览器的新型“XS-Leak”跨站点泄漏攻击，包括谷歌、微软、苹果和火狐等主流浏览器都受到影响。

XS-Leaks攻击的原理是，攻击者可以绕过Web 浏览器中的同源策略，恶意网站借此隐藏在可信的网站背后，这样就可以窃取用户输入的各类信息。

例如，XS-Leak攻击可以让恶意网站藏在后台，从邮件网站中窃取电子邮件收件箱的内容。

众所周知，跨站点泄漏攻击并不是一个新的概念。

2019年，德国达姆施塔特工业大学的研究员在Facebook、推特和 Microsoft Live 等流行的消息和社交媒体平台的图像分享特性中发现了一个 XSLeak 信道。

从本质上来看，当用户在私密聊天线程中上传图像后，主机服务会为该资源创建一个唯一的 URL，仅供线程内的各方访问。

攻击者可滥用该机制为目标用户创建一个唯一的URL，之后强制访客的浏览器访问另外一个网站请求相同的URL。

也正如安全人员所说的那样，并非所有的泄露攻击都可以识别、归类为XS 泄漏。

为此安全研究人员想要更加系统的搜集新的XS-Leaks攻击，评估这些攻击的缓解措施是否有效，以便可以更好地帮助企业做好安全防护。

加号标记

如何防御

针对以上这些问题，浏览器开发人员该如何缓解或解决这些侧信道攻击带来的风险？

研究人员建议，应拒绝所有的事件处理器信息，尽量减少错误信息的发生，应用全局限制，并在重定向发生时创建一个新的历史属性。

还有一个有效缓解攻击的办法是使用X-Frame-Options来阻止iframe加载HTML 资源，并实现CORP标头来控制页面是否可以嵌入资源。

参与此次研究的Lukas Knittel表示，“根据网站的不同，XS-Leaks攻击会对用户产生不同的影响。用户可以使用最新的浏览器，通过禁用第三方cookie来防御大多数的XS-Leaks，这样的话即使网站没有更新的缓解措施，也会有一定的效果。”

同时安全研究人员还表示，目前已经将所有发现的问题反馈给各浏览器开发团队，开发商目前正在尝试解决这些问题。因此，这些问题应该可以在当前可用的版本中进行修复。

值得一提的是，未来随着新的浏览器功能的增加，必定也会产生新的潜在的XS-Leak攻击，因此安全研究人员将持续进行关注，他们可能会进一步开发出相应的网站扫描工具。