One of Edge's Cross-Site Scripting protections may be broken
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
У 2008 році Microsoft представила технологію захисту міжсайтових сценаріїв під назвою XSS Filter. Це дозволяє власникам веб-сайтів повідомляти браузерам через HTTP-заголовок, чи слід відображати зовнішній вміст. Пізніше ця технологія була прийнята і в Chrome, і в Safari.
Тепер виявляється, що остання версія браузера Microsoft Edge відмовилася від цієї функції, за даними фірми безпеки PortSwigger.
За словами Гарета Хейса, дослідника безпеки фірми PortSwigger, остання версія Edge більше не використовувала фільтр XSS за замовчуванням, і навіть коли власники веб-сайтів намагаються його активувати, Edge більше не відповідає.
«Фільтр XSS має бути увімкненим за замовчуванням», — сказав Хейес. «Однак він тепер вимкнено за замовчуванням, і навіть якщо ви спробуєте ввімкнути його за допомогою X-XSS-Protection: 1 він залишається вимкненим».
Heyes підозрює, що це помилка, оскільки Internet Explorer, який все ще входить в комплект з Windows 10, все ще належним чином реагує на перемикач X-XSS-Protection, належним чином очищаючи веб-сторінки.
«Єдиний спосіб увімкнути його зараз – це мати заголовок X-XSS-Protection: 1; mode=block», – зазначив Хейс.
Однак цей крок може бути навмисним – розумні хакери змогли використовувати фільтр XSS для переписування веб-сторінок і атаки на браузер, а Mozilla ніколи не підтримувала цю технологію, тобто веб-сайти ніколи не підтримували її повністю.
Microsoft не відповіла PortSwigger, сказавши їм лише «Нам нема чого поділитися», коли вони запитали про проблему.
Прочитайте докладніше про проблему на BleepingComputer тут.
