การป้องกันการเขียนสคริปต์ข้ามไซต์ของ Edge อย่างใดอย่างหนึ่งอาจเสียหาย

ในปี 2008 Microsoft ได้เปิดตัวเทคโนโลยีการป้องกันการเขียนสคริปต์ข้ามไซต์ที่เรียกว่า XSS Filter อนุญาตให้เจ้าของเว็บไซต์บอกเบราว์เซอร์ผ่านส่วนหัว HTTP ว่าควรแสดงเนื้อหาภายนอกหรือไม่ เทคโนโลยีนี้ถูกนำมาใช้ในภายหลังโดยทั้ง Chrome และ Safari

ดูเหมือนว่าเบราว์เซอร์ Edge ของ Microsoft เวอร์ชันล่าสุดได้ยกเลิกฟีเจอร์ดังกล่าวแล้ว ตามที่บริษัทรักษาความปลอดภัย PortSwigger กล่าว

Gareth Heyes นักวิจัยด้านความปลอดภัยของบริษัท PortSwigger กล่าวว่า Edge เวอร์ชันล่าสุดไม่ได้ใช้ตัวกรอง XSS ตามค่าเริ่มต้นอีกต่อไป และแม้ว่าเจ้าของเว็บไซต์จะลองเปิดใช้งาน Edge ก็ไม่ตอบสนองอีกต่อไป

“ตัวกรอง XSS ควรเปิดไว้โดยค่าเริ่มต้น” Heyes กล่าว “อย่างไรก็ตาม ตอนนี้มันถูกปิดโดยค่าเริ่มต้น และแม้ว่าคุณจะพยายามเปิดใช้งานด้วย X-XSS-Protection: 1 มันก็ยังปิดอยู่”

Heyes สงสัยว่านี่เป็นข้อผิดพลาด เนื่องจาก Internet Explorer ซึ่งยังคงมาพร้อมกับ Windows 10 ยังคงตอบสนองต่อสวิตช์ X-XSS-Protection อย่างเหมาะสม ฆ่าเชื้อหน้าเว็บอย่างเหมาะสม

“วิธีเดียวที่จะเปิดใช้งานได้จริงในตอนนี้คือเมื่อคุณมีส่วนหัว X-XSS-Protection: 1; mode=block” เฮย์สตั้งข้อสังเกต

อย่างไรก็ตาม การย้ายอาจเป็นความตั้งใจ – แฮ็กเกอร์ที่ชาญฉลาดสามารถใช้ประโยชน์จากตัวกรอง XSS เพื่อเขียนหน้าเว็บใหม่และโจมตีเบราว์เซอร์ และ Mozilla ไม่เคยสนับสนุนเทคโนโลยีดังกล่าว หมายความว่าเว็บไซต์ไม่เคยได้รับการสนับสนุนอย่างเต็มที่

Microsoft ไม่ได้ตอบกลับ PortSwigger โดยบอกพวกเขาเพียงว่า "เราไม่มีอะไรจะแบ่งปัน" เมื่อพวกเขาถามถึงปัญหา

อ่านรายละเอียดเพิ่มเติมเกี่ยวกับปัญหา ที่ BleepingComputer ที่นี่.