Edge 的跨站腳本保護之一可能被破壞

2008 年，微軟推出了一種稱為 XSS 過濾器的跨站點腳本保護技術。 它允許網站所有者通過 HTTP 標頭告訴瀏覽器是否應該呈現外部內容。 該技術後來被 Chrome 和 Safari 採用。

據安全公司 PortSwigger 稱，現在微軟 Edge 瀏覽器的最新版本似乎已經放棄了該功能。

根據 PortSwigger 公司安全研究員 Gareth Heyes 的說法，最新版本的 Edge 默認不再使用 XSS 過濾器，即使網站所有者嘗試激活它，Edge 也不再響應。

“XSS 過濾器應該默認開啟，”Heyes 說。 “但是，它現在默認關閉，即使您嘗試使用 X-XSS-Protection: 1 打開它，它仍然保持關閉狀態。”

Heyes 懷疑這是一個錯誤，因為仍與 Windows 10 捆綁在一起的 Internet Explorer 仍會適當地響應 X-XSS-Protection 開關，從而適當地清理網頁。

“現在真正打開它的唯一方法是當你有標題 X-XSS-Protection: 1; 模式=阻止，”海耶斯指出。

然而，此舉可能是故意的——聰明的黑客已經能夠利用 XSS 過濾器重寫網頁並攻擊瀏覽器，而 Mozilla 從未支持該技術，這意味著它從未得到網站的完全支持。

微軟沒有回應 PortSwigger，當他們詢問這個問題時，只告訴他們“我們沒有什麼可分享的”。

閱讀有關該問題的更多詳細信息 在 BleepingComputer 這裡.