Es posible que una de las protecciones de secuencias de comandos entre sitios de Edge esté rota

En 2008, Microsoft introdujo una tecnología de protección Cross-site Scripting llamada XSS Filter. Permite a los propietarios de sitios web decirles a los navegadores a través del encabezado HTTP si se debe representar el contenido externo. La tecnología fue adoptada más tarde por Chrome y Safari.

Ahora parece que la última versión del navegador Edge de Microsoft ha eliminado la función, según la firma de seguridad PortSwigger.

Según Gareth Heyes, investigador de seguridad de la firma PortSwigger, la versión más reciente de Edge ya no usa el filtro XSS de forma predeterminada, e incluso cuando los propietarios de sitios web intentan activarlo, Edge ya no responde.

“Se supone que el filtro XSS está activado de manera predeterminada”, dijo Heyes. "Sin embargo, ahora está desactivado de forma predeterminada, e incluso si intenta activarlo con X-XSS-Protection: 1, permanece desactivado".

Heyes sospecha que se trata de un error, ya que Internet Explorer, que aún se incluye con Windows 10, aún responde adecuadamente al interruptor de protección X-XSS, desinfectando las páginas web de manera adecuada.

“La única forma de activarlo ahora es cuando tienes el encabezado X-XSS-Protection: 1; mode=block”, señaló Heyes.

Sin embargo, el movimiento puede ser intencional: los piratas informáticos inteligentes han podido explotar XSS Filter para reescribir páginas web y atacar el navegador, y Mozilla nunca ha respaldado la tecnología, lo que significa que los sitios web nunca la respaldaron por completo.

Microsoft no respondió a PortSwigger, diciéndoles solo "No tenemos nada que compartir" cuando preguntaron sobre el problema.

Leer más detalles sobre el tema en BleepingComputer aquí.