Edge의 Cross-Site Scripting 보호 중 하나가 손상되었을 수 있습니다.

2008년에 Microsoft는 XSS 필터라는 교차 사이트 스크립팅 보호 기술을 도입했습니다. 이를 통해 웹 사이트 소유자는 HTTP 헤더를 통해 브라우저에 외부 콘텐츠를 렌더링해야 하는지 여부를 알릴 수 있습니다. 이 기술은 나중에 Chrome과 Safari에서 모두 채택되었습니다.

보안 회사 PortSwigger에 따르면 이제 최신 버전의 Microsoft Edge 브라우저에서 이 기능이 삭제된 것으로 보입니다.

회사 PortSwigger의 보안 연구원인 Gareth Heyes에 따르면 최신 버전의 Edge는 더 이상 기본적으로 XSS Filter를 사용하지 않으며 웹 사이트 소유자가 이를 활성화하려고 해도 Edge가 더 이상 응답하지 않습니다.

"XSS 필터는 기본적으로 켜져 있어야 합니다."라고 Heyes가 말했습니다. "하지만 지금은 기본적으로 꺼져 있고 X-XSS-Protection: 1로 켜려고 해도 꺼져 있습니다."

Heyes는 여전히 Windows 10과 함께 번들로 제공되는 Internet Explorer가 여전히 X-XSS-Protection 스위치에 적절하게 응답하여 웹 페이지를 적절하게 삭제하기 때문에 이것이 버그라고 생각합니다.

"지금 실제로 켤 수 있는 유일한 방법은 X-XSS-Protection 헤더가 있는 경우입니다. 1; mode=block”이라고 Heyes는 말했습니다.

그러나 이러한 움직임은 의도적일 수 있습니다. 똑똑한 해커는 XSS 필터를 악용하여 웹 페이지를 다시 작성하고 브라우저를 공격할 수 있었고 Mozilla는 이 기술을 지원한 적이 없습니다. 즉, 웹 사이트에서 완전히 지원되지 않았습니다.

Microsoft는 PortSwigger에 응답하지 않고 문제에 대해 문의했을 때 "공유할 것이 없습니다"라고만 말했습니다.

문제에 대해 자세히 알아보기 여기 BleepingComputer에서.