Jedna z ochran Cross-Site Scripting společnosti Edge může být porušena

V roce 2008 Microsoft představil technologii ochrany Cross-site Scripting nazvanou XSS Filter. Umožňuje vlastníkům webových stránek sdělit prohlížečům prostřednictvím záhlaví HTTP, zda má být vykreslen externí obsah. Tuto technologii později převzal Chrome i Safari.

Podle bezpečnostní firmy PortSwigger se nyní zdá, že nejnovější verze prohlížeče Edge od společnosti Microsoft tuto funkci opustila.

Podle Garetha Heyese, bezpečnostního výzkumníka firmy PortSwigger, nejnovější verze Edge již ve výchozím nastavení nepoužívá filtr XSS, a i když se jej majitelé webových stránek pokoušejí aktivovat, Edge již nereaguje.

"Filtr XSS má být ve výchozím nastavení zapnutý," řekl Heyes. "Nyní je však ve výchozím nastavení vypnutá, a i když se ji pokusíte zapnout pomocí X-XSS-Protection: 1, zůstane vypnutá."

Heyes má podezření, že se jedná o chybu, protože Internet Explorer, stále dodávaný s Windows 10, stále správně reaguje na přepínač X-XSS-Protection a náležitě dezinfikuje webové stránky.

„Jediný způsob, jak to nyní skutečně zapnout, je, když máte záhlaví X-XSS-Protection: 1; režim=blok,“ poznamenal Heyes.

Tento krok však může být záměrný – chytří hackeři dokázali využít XSS Filter k přepsání webových stránek a útoku na prohlížeč a Mozilla tuto technologii nikdy nepodporovala, což znamená, že ji webové stránky nikdy plně nepodporovaly.

Microsoft neodpověděl PortSwigger a řekl jim pouze „Nemáme co sdílet“, když se zeptali na problém.

Přečtěte si další podrobnosti o problému na BleepingComputer zde.