Ett av Edges Cross-Site Scripting-skydd kan vara trasigt
2 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
2008 introducerade Microsoft en Cross-site Scripting-skyddsteknik som heter XSS Filter. Det tillåter webbplatsägare att berätta för webbläsare via HTTP-huvudet om externt innehåll ska renderas. Tekniken anammades senare av både Chrome och Safari.
Nu verkar det som att den senaste versionen av Microsofts Edge-webbläsare har släppt funktionen, enligt säkerhetsföretaget PortSwigger.
Enligt Gareth Heyes, säkerhetsforskare för företaget PortSwigger, använde den senaste versionen av Edge inte längre XSS Filter som standard, och även när webbplatsägare försöker aktivera det svarar Edge inte längre.
"XSS-filtret är tänkt att vara på som standard," sa Heyes. "Men den är nu avstängd som standard, och även om du försöker slå på den med X-XSS-Protection: 1 förblir den av."
Heyes misstänker att detta är en bugg, eftersom Internet Explorer, fortfarande medföljande Windows 10, fortfarande svarar på lämpligt sätt på X-XSS-Protection-omkopplaren och sanerar webbsidor på lämpligt sätt.
“Det enda sättet att faktiskt slå på det nu är när du har rubriken X-XSS-Protection: 1; mode=block,” noterade Heyes.
Flytten kan dock vara avsiktlig – smarta hackare har kunnat utnyttja XSS Filter för att skriva om webbsidor och attackera webbläsaren, och Mozilla har aldrig stött tekniken, vilket betyder att den aldrig stöddes helt av webbplatser.
Microsoft har inte svarat PortSwigger och bara sagt "Vi har inget att dela" när de frågade om problemet.
Läs mer om problemet på BleepingComputer här.
