Edge のクロスサイト スクリプティング保護の 1 つが壊れている可能性があります

2008年、マイクロソフトはXSSフィルターと呼ばれるクロスサイトスクリプティング保護テクノロジを導入しました。 これにより、Webサイトの所有者は、外部コンテンツをレンダリングする必要があるかどうかをHTTPヘッダーを介してブラウザーに通知できます。 このテクノロジーは、後にChromeとSafariの両方に採用されました。

セキュリティ会社のPortSwiggerによると、MicrosoftのEdgeブラウザの最新バージョンがこの機能を廃止したようです。

PortSwigger社のセキュリティ研究者であるGarethHeyesによると、Edgeの最新バージョンはデフォルトでXSS Filterを使用しなくなり、Webサイトの所有者がそれをアクティブにしようとしてもEdgeは応答しなくなりました。

「XSSフィルターはデフォルトでオンになっているはずです」とHeyes氏は述べています。 「ただし、現在はデフォルトでオフになっています。X-XSS-Protection：1でオンにしようとしても、オフのままです。」

Heyesは、これがバグであると考えています。InternetExplorerはまだWindows 10にバンドルされており、X-XSS-Protectionスイッチに適切に応答し、Webページを適切にサニタイズします。

「現在実際にオンにする唯一の方法は、ヘッダーX-XSS-Protection：1がある場合です。 mode=block」とHeyes氏は述べています。

ただし、この動きは意図的なものである可能性があります。スマートハッカーはXSS Filterを悪用してWebページを書き換え、ブラウザを攻撃することができました。Mozillaはこのテクノロジーをサポートしたことがなく、Webサイトで完全にサポートされたことはありません。

MicrosoftはPortSwiggerに応答せず、問題について問い合わせたときに「共有するものは何もない」とだけ言った。

問題の詳細を読む ここのBleepingComputerで.