Edge 的跨站脚本保护之一可能被破坏
2分钟读
发表于
阅读我们的披露页面,了解如何帮助 MSPoweruser 维持编辑团队 查看更多
2008 年,微软推出了一种称为 XSS 过滤器的跨站点脚本保护技术。 它允许网站所有者通过 HTTP 标头告诉浏览器是否应该呈现外部内容。 该技术后来被 Chrome 和 Safari 采用。
据安全公司 PortSwigger 称,现在微软 Edge 浏览器的最新版本似乎已经放弃了该功能。
根据 PortSwigger 公司安全研究员 Gareth Heyes 的说法,最新版本的 Edge 默认不再使用 XSS 过滤器,即使网站所有者尝试激活它,Edge 也不再响应。
“XSS 过滤器应该默认开启,”Heyes 说。 “但是,它现在默认关闭,即使您尝试使用 X-XSS-Protection: 1 打开它,它仍然保持关闭状态。”
Heyes 怀疑这是一个错误,因为仍与 Windows 10 捆绑在一起的 Internet Explorer 仍会适当地响应 X-XSS-Protection 开关,从而适当地清理网页。
“现在真正打开它的唯一方法是当你有标题 X-XSS-Protection: 1; 模式=阻止,”海耶斯指出。
然而,此举可能是故意的——聪明的黑客已经能够利用 XSS 过滤器重写网页并攻击浏览器,而 Mozilla 从未支持该技术,这意味着它从未得到网站的完全支持。
微软没有回应 PortSwigger,当他们询问这个问题时,只告诉他们“我们没有什么可分享的”。
阅读有关该问题的更多详细信息 在 BleepingComputer 这里.