Microsoft
Caracteristica X-XSS Protection a Microsoft Edge browser-ul a fost în vigoare pentru a preveni atacurile de scripturi între site-uri de la introducerea sa în 2008. Deși unii din industria tehnologiei, cum ar fi dezvoltatorii Mozilla Firefox și mai mulți analiști, au criticat această caracteristică, Mozilla refuzând să o încorporeze în browserul său, îndepărtând speranțele pentru o experiență de navigare încrucișată mai integrată, Google Chrome și propriul Internet Explorer al Microsoft au menținut această funcție și nu a apărut nicio declarație de la Microsoft care să indice încă contrariul. Din 2015, filtrul de protecție Microsoft Edge X-XSS a fost configurat în așa fel încât să filtreze astfel de încercări de trecere a codului pe paginile web, indiferent dacă scriptul X-XSS a fost sau nu activat, dar se pare că caracteristica care a fost odată implicit a fost descoperit de Gareth Heyes din PortSwigger să fie dezactivat acum în browserul Microsoft Edge, ceea ce consideră că se datorează unei erori, deoarece Microsoft nu s-a prezentat răspunzând pentru această modificare.
În limbajul binar de oprire și de pe scripturi, dacă browserul găzduiește un antet care redă „X-XSS-Protection: 0”, mecanismul de apărare a scripturilor între site-uri va fi dezactivat. Dacă valoarea este setată la 1, aceasta va fi activată. O a treia afirmație a „Protecției X-XSS: 1; mode = block ”blochează în întregime pagina web să nu mai apară. Heyes a descoperit că, deși se presupune că valoarea este setată la 1 în mod implicit, acum pare să fie setată la 0 în browserele Microsoft Edge. Cu toate acestea, acest lucru nu pare să fie cazul browserului Internet Explorer Microsoft. Încercând să inversați această setare, dacă un utilizator setează scriptul la 1, acesta revine la 0 și caracteristica rămâne dezactivată. Deoarece Microsoft nu a prezentat această caracteristică și Internet Explorer continuă să o susțină, se poate concluziona că acesta este rezultatul unei erori în browser pe care ne așteptăm să o rezolve Microsoft în următoarea actualizare.
Atacurile de scriptare între site-uri apar atunci când o pagină web de încredere transmite utilizatorului un script secundar rău intenționat. Deoarece pagina web este de încredere, conținutul site-ului nu este filtrat pentru a se asigura că astfel de fișiere rău intenționate nu apar. Principala modalitate de a preveni acest lucru este să vă asigurați că HTTP TRACE este dezactivat pe browser pentru toate paginile web. Dacă un hacker a stocat un fișier rău intenționat pe o pagină web, atunci când un utilizator îl accesează, comanda HTTP Trace este executată pentru a fura cookie-urile utilizatorului pe care hackerul le poate folosi la rândul său pentru a accesa informațiile utilizatorului și, eventual, a-i pirata dispozitivul. Pentru a preveni acest lucru în browser, a fost introdusă funcția X-XSS-Protection, dar analiștii susțin că astfel de atacuri sunt capabile să exploateze filtrul în sine pentru a obține informațiile pe care le caută. În ciuda acestui fapt, însă, multe browsere web au menținut acest script ca o primă linie de apărare pentru a preveni cele mai de bază tipuri de phishing XSS și au încorporat definiții de securitate mai ridicate pentru a remedia eventualele vulnerabilități pe care le prezintă filtrul.
