Одна из средств защиты Edge от межсайтовых сценариев может быть сломана.

В 2008 году Microsoft представила технологию защиты от межсайтовых сценариев под названием XSS Filter. Это позволяет владельцам веб-сайтов сообщать браузерам через HTTP-заголовок, следует ли отображать внешний контент. Позже эта технология была принята как Chrome, так и Safari.

Теперь похоже, что последняя версия браузера Microsoft Edge отказалась от этой функции, по данным охранной фирмы PortSwigger.

По словам Гарета Хейса, исследователя безопасности фирмы PortSwigger, самая последняя версия Edge больше не использует XSS-фильтр по умолчанию, и даже когда владельцы веб-сайтов пытаются активировать его, Edge больше не отвечает.

«Фильтр XSS должен быть включен по умолчанию», — сказал Хейс. «Однако теперь он отключен по умолчанию, и даже если вы попытаетесь включить его с помощью X-XSS-Protection: 1, он останется отключенным».

Хейс подозревает, что это ошибка, так как Internet Explorer, все еще связанный с Windows 10, по-прежнему правильно реагирует на переключатель X-XSS-Protection, соответствующим образом очищая веб-страницы.

«Единственный способ включить его сейчас — это когда у вас есть заголовок X-XSS-Protection: 1; mode=block», — отметил Хейс.

Однако этот шаг может быть преднамеренным — умные хакеры смогли использовать XSS-фильтр для перезаписи веб-страниц и атак на браузер, а Mozilla никогда не поддерживала эту технологию, то есть она никогда полностью не поддерживалась веб-сайтами.

Microsoft не ответила PortSwigger, сказав им только «Нам нечем поделиться», когда они спросили об этой проблеме.

Подробнее о проблеме читайте на BleepingComputer здесь.