ممکن است یکی از حفاظت های Edge Cross-Site Scripting شکسته شود
2 دقیقه خواندن
منتشر شده در
صفحه افشای ما را بخوانید تا بدانید چگونه می توانید به MSPoweruser کمک کنید تا تیم تحریریه را حفظ کند ادامه مطلب
در سال 2008 مایکروسافت یک فناوری حفاظت از اسکریپت بین سایتی به نام فیلتر XSS را معرفی کرد. این به صاحبان وب سایت اجازه می دهد تا از طریق HTTP Header به مرورگرها بگویند که آیا محتوای خارجی باید ارائه شود یا خیر. این فناوری بعداً توسط کروم و سافاری مورد استفاده قرار گرفت.
طبق گفته شرکت امنیتی PortSwigger، اکنون به نظر می رسد که آخرین نسخه مرورگر اج مایکروسافت این ویژگی را حذف کرده است.
به گفته Gareth Heyes، محقق امنیتی شرکت PortSwigger، جدیدترین نسخه Edge دیگر به طور پیشفرض از فیلتر XSS استفاده نمیکند و حتی زمانی که صاحبان وبسایت سعی میکنند آن را فعال کنند، Edge دیگر پاسخ نمیدهد.
هیس گفت: «فیلتر XSS قرار است به طور پیش فرض روشن باشد. با این حال، اکنون به طور پیش فرض خاموش است، و حتی اگر بخواهید آن را با X-XSS-Protection روشن کنید: 1 خاموش می ماند.
Heyes مشکوک است که این یک باگ است، زیرا اینترنت اکسپلورر که هنوز با ویندوز 10 همراه است، همچنان به سوییچ X-XSS-Protection پاسخ مناسبی می دهد و صفحات وب را به طور مناسب پاکسازی می کند.
تنها راه برای روشن کردن آن در حال حاضر زمانی است که هدر X-XSS-Protection را دارید: 1; حالت = بلوک، "هیز اشاره کرد.
با این حال، این حرکت ممکن است عمدی باشد - هکرهای هوشمند توانسته اند از فیلتر XSS برای بازنویسی صفحات وب و حمله به مرورگر سوء استفاده کنند، و موزیلا هرگز از این فناوری پشتیبانی نکرده است، به این معنی که هرگز به طور کامل توسط وب سایت ها پشتیبانی نشد.
مایکروسافت به PortSwigger پاسخ نداده است و زمانی که آنها در مورد این مشکل پرس و جو کردند فقط به آنها گفت "ما چیزی برای اشتراک گذاری نداریم".
جزئیات بیشتر در مورد موضوع را بخوانید در BleepingComputer اینجا.