Edge 的跨站脚本保护之一可能被破坏

2008 年，微软推出了一种称为 XSS 过滤器的跨站点脚本保护技术。 它允许网站所有者通过 HTTP 标头告诉浏览器是否应该呈现外部内容。 该技术后来被 Chrome 和 Safari 采用。

据安全公司 PortSwigger 称，现在微软 Edge 浏览器的最新版本似乎已经放弃了该功能。

根据 PortSwigger 公司安全研究员 Gareth Heyes 的说法，最新版本的 Edge 默认不再使用 XSS 过滤器，即使网站所有者尝试激活它，Edge 也不再响应。

“XSS 过滤器应该默认开启，”Heyes 说。 “但是，它现在默认关闭，即使您尝试使用 X-XSS-Protection: 1 打开它，它仍然保持关闭状态。”

Heyes 怀疑这是一个错误，因为仍与 Windows 10 捆绑在一起的 Internet Explorer 仍会适当地响应 X-XSS-Protection 开关，从而适当地清理网页。

“现在真正打开它的唯一方法是当你有标题 X-XSS-Protection: 1; 模式=阻止，”海耶斯指出。

然而，此举可能是故意的——聪明的黑客已经能够利用 XSS 过滤器重写网页并攻击浏览器，而 Mozilla 从未支持该技术，这意味着它从未得到网站的完全支持。

微软没有回应 PortSwigger，当他们询问这个问题时，只告诉他们“我们没有什么可分享的”。

阅读有关该问题的更多详细信息 在 BleepingComputer 这里.