Uma das proteções de Cross-Site Scripting do Edge pode estar quebrada

Em 2008, a Microsoft introduziu uma tecnologia de proteção Cross-site Scripting chamada Filtro XSS. Ele permite que os proprietários de sites informem aos navegadores por meio do cabeçalho HTTP se o conteúdo externo deve ser renderizado. A tecnologia foi posteriormente adotada pelo Chrome e pelo Safari.

Agora, parece que a versão mais recente do navegador Edge da Microsoft descartou o recurso, de acordo com a empresa de segurança PortSwigger.

De acordo com Gareth Heyes, pesquisador de segurança da empresa PortSwigger, a versão mais recente do Edge não usava mais o Filtro XSS por padrão e, mesmo quando os proprietários do site tentam ativá-lo, o Edge não responde mais.

“O filtro XSS deve estar ativado por padrão”, disse Heyes. “No entanto, agora está desativado por padrão e, mesmo que você tente ativá-lo com X-XSS-Protection: 1, ele permanece desativado.”

Heyes suspeita que isso seja um bug, pois o Internet Explorer, ainda fornecido com o Windows 10, ainda responde adequadamente ao switch X-XSS-Protection, higienizando as páginas da Web adequadamente.

“A única maneira de realmente ligá-lo agora é quando você tem o cabeçalho X-XSS-Protection: 1; mode=block”, observou Heyes.

A mudança pode, no entanto, ser intencional – hackers inteligentes conseguiram explorar o Filtro XSS para reescrever páginas da web e atacar o navegador, e a Mozilla nunca apoiou a tecnologia, o que significa que nunca foi totalmente suportada por sites.

A Microsoft não respondeu ao PortSwigger, dizendo apenas “Não temos nada para compartilhar” quando perguntaram sobre o problema.

Leia mais detalhes sobre o problema em BleepingComputer aqui.