Microsoft
O recurso de proteção X-XSS do Microsoft borda navegador está em vigor para evitar ataques de script entre sites no sistema desde sua introdução em 2008. Embora alguns na indústria de tecnologia, como os desenvolvedores do Mozilla Firefox e vários analistas, tenham criticado este recurso, com a Mozilla se recusando a incorporá-lo. seu navegador, afastando as esperanças de uma experiência de navegação cruzada mais integrada, o Google Chrome e o próprio Internet Explorer da Microsoft mantiveram esse recurso em execução e nenhuma declaração da Microsoft ainda indica o contrário. Desde 2015, o Filtro de Proteção X-XSS da Microsoft Edge foi configurado de forma a filtrar tais tentativas de cruzamento de código em páginas da web, independentemente de o script X-XSS ter sido habilitado ou não, mas parece que o recurso que estava uma vez ativado por padrão foi descoberto por Gareth Heyes de PortSwigger para agora ser desabilitado no navegador Microsoft Edge, algo que ele considera ser devido a um bug, já que a Microsoft não se apresentou reivindicando a responsabilidade por esta mudança.
Na linguagem binária de scripts desativados e ativados, se o navegador hospedar uma renderização de cabeçalho “X-XSS-Protection: 0”, o mecanismo de defesa de script entre sites será desabilitado. Se o valor for definido como 1, ele será habilitado. Uma terceira declaração de “X-XSS-Protection: 1; mode = block ”bloqueia totalmente a exibição da página da web. Heyes descobriu que embora o valor deva ser definido como 1 por padrão, agora ele parece estar definido como 0 nos navegadores Microsoft Edge. No entanto, esse não parece ser o caso no navegador Internet Explorer da Microsoft. Na tentativa de reverter essa configuração, se um usuário definir o script como 1, ele reverterá para 0 e o recurso permanecerá desativado. Como a Microsoft não avançou sobre esse recurso e o Internet Explorer continua a suportá-lo, pode-se concluir que isso é resultado de um bug no navegador que esperamos que a Microsoft resolva na próxima atualização.
Ataques de script entre sites ocorrem quando uma página da Web confiável carrega um script lateral malicioso para o usuário. Como a página da web é confiável, o conteúdo do site não é filtrado para garantir que esses arquivos maliciosos não apareçam. A principal maneira de evitar isso é garantir que HTTP TRACE esteja desativado no navegador para todas as páginas da web. Se um hacker armazenou um arquivo malicioso em uma página da web, quando um usuário o acessa, o comando HTTP Trace é executado para roubar os cookies do usuário que o hacker pode, por sua vez, usar para acessar as informações do usuário e potencialmente hackear seu dispositivo. Para evitar isso no navegador, o recurso X-XSS-Protection foi introduzido, mas os analistas argumentam que tais ataques são capazes de explorar o próprio filtro para obter as informações que procuram. Apesar disso, no entanto, muitos navegadores da web mantiveram esse script como uma primeira linha de defesa para evitar os tipos mais básicos de phishing XSS e incorporaram definições de segurança mais altas para corrigir quaisquer vulnerabilidades que o próprio filtro apresente.
