Microsoft
Funkcja ochrony X-XSS w Microsoft Edge przeglądarka działa w celu zapobiegania atakom typu cross-site scripting na system od czasu jej wprowadzenia w 2008 roku. Chociaż niektórzy z branży technologicznej, na przykład twórcy Mozilla Firefox i kilku analityków, krytykowali tę funkcję, a Mozilla odmawiała włączenia jej do jego przeglądarka, odwracając nadzieje na bardziej zintegrowane doświadczenie przeglądania w różnych przeglądarkach, Google Chrome i Internet Explorer Microsoftu utrzymały tę funkcję działającą i nie pojawiło się żadne oświadczenie firmy Microsoft, które wskazywałoby inaczej. Od 2015 roku filtr ochrony Microsoft Edge X-XSS jest konfigurowany w taki sposób, że filtruje takie próby krzyżowania kodu na stronach internetowych niezależnie od tego, czy został włączony skrypt X-XSS, ale wydaje się, że funkcja, która była raz domyślnie został odkryty przez Garetha Heyesa z PortSwigger być teraz wyłączone w przeglądarce Microsoft Edge, co uważa za spowodowane błędem, ponieważ Microsoft nie wystąpił z roszczeniem do odpowiedzialności za tę zmianę.
W binarnym języku skryptów wyłączania i włączania, jeśli przeglądarka obsługuje nagłówek renderujący „X-XSS-Protection: 0”, mechanizm ochrony przed skryptami między witrynami zostanie wyłączony. Jeśli wartość jest ustawiona na 1, zostanie włączona. Trzecie stwierdzenie „Ochrona X-XSS: 1; mode = block ”całkowicie blokuje wyświetlanie strony internetowej. Heyes odkrył, że chociaż domyślna wartość powinna być ustawiona na 1, w przeglądarkach Microsoft Edge wydaje się być teraz ustawiona na 0. Wydaje się jednak, że tak nie jest w przypadku przeglądarki Internet Explorer firmy Microsoft. Próbując odwrócić to ustawienie, jeśli użytkownik ustawi skrypt na 1, powróci do 0, a funkcja pozostanie wyłączona. Ponieważ firma Microsoft nie zgłosiła się w sprawie tej funkcji, a Internet Explorer nadal ją obsługuje, można stwierdzić, że jest to wynikiem błędu w przeglądarce, którego rozwiązania oczekujemy od firmy Microsoft w następnej aktualizacji.
Ataki typu cross-site scripting mają miejsce, gdy zaufana strona internetowa przekazuje użytkownikowi złośliwy skrypt boczny. Ponieważ strona internetowa jest zaufana, zawartość witryny nie jest filtrowana, aby zapewnić, że takie złośliwe pliki nie zostaną ujawnione. Zasadniczym sposobem uniknięcia tego jest wyłączenie protokołu HTTP TRACE w przeglądarce dla wszystkich stron internetowych. Jeśli haker przechował złośliwy plik na stronie internetowej, gdy użytkownik uzyskuje do niego dostęp, uruchamiane jest polecenie śledzenia HTTP w celu wykradnięcia plików cookie użytkownika, których haker może z kolei użyć do uzyskania dostępu do informacji użytkownika i potencjalnego zhakowania jego urządzenia. Aby temu zapobiec w przeglądarce, wprowadzono funkcję X-XSS-Protection, ale analitycy twierdzą, że takie ataki są w stanie wykorzystać sam filtr, aby uzyskać informacje, których szukają. Mimo to wiele przeglądarek internetowych zachowało ten skrypt jako pierwszą linię obrony, aby zapobiec najbardziej podstawowym rodzajom phishingu XSS i włączyło wyższe definicje bezpieczeństwa, aby załatać wszelkie luki, które sam filtr stwarza.
