В браузере Microsoft Edge перестал работать XSS-фильтр — механизм безопасности, предотвращающий межсайтовое выполнение сценариев (XSS-атака) в браузерах. На проблему обратил внимание специалист компании PortSwigger Гарет Хэйес (Gareth Heyes).
Впервые данная функция появилась в Internet Explorer 8, а позже была реализована в Edge и других интернет-обозревателях, таких как Google Chrome и Apple Safari. Функционал также известен как X-XSS-Protection. Заголовок X-XSS-Protection предназначен для включения фильтра межсайтового скриптинга, встроенного во всех современных браузерах. При загрузке страницы, содержащей данный заголовок, браузер активирует параметры XSS-фильтра в зависимости от указанных значений X-XSS-Protection — "X-XSS-Protection: 0", "X-XSS-Protection: 1" или "X-XSS-Protection: 1; mode=block". В первом случае браузер отключает фильтр, во втором проверяет код страницы и устраняет элементы, специфические для XSS-атак, в третьем — блокирует отображение контента на странице при обнаружении признаков XSS-атаки.
В последние три года Edge по умолчанию проверял код любой загружаемой страницы вне зависимости от того, сконфигурирован заголовок X-XSS-Protection или нет. Однако несколько дней назад Хэйес обнаружил, что настройки XSS-фильтра не работают привычным образом. По его словам, теперь функция по умолчанию отключена. Даже при попытке активировать защиту с помощью "X-XSS-Protection: 1" она остается отключенной. Судя по тому, что в Internet Explorer XSS-фильтр работает как положено, речь может идти об ошибке, а не намеренных изменениях со стороны Microsoft. Более того, XSS-фильтр возможно включить, если в заголовке X-XSS-Protection указано значение "X-XSS-Protection: 1; mode=block", чего многие владельцы сайтов стараются избегать, поскольку в таком случае Edge перестает отображать сайты.
Специалист проинформировал Microsoft о проблеме, однако инженеры компании не предоставили пояснений по данному вопросу.
Межсайтовый скриптинг (Cross Site Scripting) — уязвимость, позволяющая злоумышленнику внедрить вредоносный код (обычно HTML или JavaScript) в содержимое сайта. Вредоносный код выполняется в браузере пользователя, который просматривает зараженную страницу сайта.
Источник: securitylab.ru
