Một trong những biện pháp bảo vệ Cross-Site Scripting của Edge có thể bị hỏng

Năm 2008, Microsoft đã giới thiệu một công nghệ bảo vệ Cross-site Scripting được gọi là XSS Filter. Nó cho phép chủ sở hữu trang web thông báo cho các trình duyệt thông qua HTTP Header liệu nội dung bên ngoài có nên được hiển thị hay không. Công nghệ này sau đó đã được cả Chrome và Safari áp dụng.

Hiện tại, có vẻ như phiên bản mới nhất của trình duyệt Edge của Microsoft đã bỏ tính năng này, theo hãng bảo mật PortSwigger.

Theo Gareth Heyes, nhà nghiên cứu bảo mật của công ty PortSwigger, phiên bản Edge gần đây nhất không còn sử dụng XSS Filter theo mặc định và ngay cả khi chủ sở hữu trang web thử và kích hoạt nó thì Edge cũng không còn phản hồi nữa.

Heyes nói: “Bộ lọc XSS phải được bật theo mặc định. “Tuy nhiên, nó hiện bị tắt theo mặc định và ngay cả khi bạn cố gắng bật nó bằng X-XSS-Protection: 1 thì nó vẫn tắt.”

Heyes nghi ngờ đây là một lỗi, vì Internet Explorer, vẫn đi kèm với Windows 10, vẫn phản ứng thích hợp với công tắc X-XSS-Protection, làm sạch các trang web một cách thích hợp.

“Cách duy nhất để thực sự bật nó bây giờ là khi bạn có tiêu đề X-XSS-Protection: 1; mode = khối, ”Heyes lưu ý.

Tuy nhiên, động thái này có thể là cố ý - các tin tặc thông minh đã có thể khai thác XSS Filter để viết lại các trang web và tấn công trình duyệt và Mozilla chưa bao giờ hỗ trợ công nghệ này, có nghĩa là nó chưa bao giờ được các trang web hỗ trợ đầy đủ.

Microsoft đã không trả lời PortSwigger, chỉ nói với họ rằng "Chúng tôi không có gì để chia sẻ" khi họ hỏi về vấn đề này.

Đọc thêm chi tiết về vấn đề tại BleepingComputer tại đây.