微软XSS过滤器逐渐失去作用 XSS防护没有以前显得那么重要

安全研究员发现,由微软开发的XSS过滤器在实际中并没有发挥太大作用,即使它应用广泛。相反,大部分的网站管理员都会避免使用它,因为他会阻止Edge完全显示网站。研究人员称,删除该功能并不会引发太大的担心,因为XSS过滤器功能并不像以前那样重要。

根据安全研究员的说法,Microsoft Edge浏览器附带的安全功能似乎已停止运行。有问题的安全功能名为“XSS Filter”,是Microsoft开发的安全机制,可以防止浏览器内部的基本跨站点脚本(XSS)攻击。微软于2008年开发并推出了XSS Filter ,当时它首次包含在Internet Explorer 8中,但该功能已经扩展到Edge,并被其他浏览器采用,如谷歌浏览器和Safari。

XSS过滤器的工作原理

此安全功能也称为“X-XSS-Protection”。这个名称是众所周知的,因为网站所有者可以为提供其网站的服务器配置名为“X-XSS-Protection”的HTTP标头。当浏览器从这些站点加载页面并检测到此标头时,它们将根据该标头的值运行XSS过滤器保护,该标头可以是以下三个值之一:

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block

当浏览器看到标题为“ X-XSS-Protection:0 ”时,它将禁用XSS过滤器保护。

当浏览器看到标题为“ X-XSS-Protection:1 ”时,它将清理页面的代码并删除特定于XSS攻击的模式。

当浏览器看到“ X-XSS-Protection:1; mode = block ”时,如果它检测到特定于XSS攻击的模式,它将阻止对页面上任何内容的呈现。

在过去的三年中,自Edge发布以来,Edge已将第二个值用作默认设置,这意味着Edge将尝试清理其加载的任何页面的代码,无论它是否配置了X-XSS-Protection标头。

Edge的XSS Filter默认情况下应该打开

但是本周,研究人员发现 Edge在XSS Filter设置方面没有表现得如此好用。

“默认情况下,XSS过滤器应该打开,但是,它现在默认关闭,即使您尝试使用X-XSS-Protection打开它:1它仍然关闭。”

默认情况下,所有站点都禁用XSS Filter的原因尚不清楚,因为微软或Edge团队没有任何官方声明。

但这似乎不是微软有意重新配置的。相反,这似乎是一个bug。

这是因为该功能在Microsoft的其他浏览器Internet Explorer中按预期工作,默认情况下仍处于打开状态。如果微软想要删除这个功能,它将同时修改它的两个浏览器。

此外,仍然可以在Edge中启用XSS Filter,但是当网站专门使用其第三高的安全级别设置时 – 大多数网站管理员都会避免使用它,因为它会阻止Edge完全显示网站。

“现在实际打开它的唯一方法是当你有标题X-XSS-Protection:1; mode = block,”

删除XSS Filter功能也不会造成太大影响

研究人员还建立了一个情况,如果微软真的删除XSS Filter,也可能是一个好主意,以及为什么许多安全研究人员不会为此过多地担心。

对于初学者来说,许多研究人员已经可以绕过此功能或滥用它来进行浏览器上的其他攻击

其次,Mozilla 表示从未支持该功能,并且阻碍了该功能成为跨浏览器支持的反XSS机制的机会。

第三,根据MDN门户网站,关于网络功能的官方文档网站,XSS过滤器功能并不像以前那样重要:

根据Mozilla的说法,MDN门户每月接收大约600万用户,其中95%访问Web标准和JavaScript,HTML5,CSS和更新Web API等技术的文档页面。

其他5%访问Firefox和Thunderbird特定文档。Mozilla今天承诺将特定于Firefox的文档移动到网站的一个单独部分,与跨浏览器文档页面明确分开。

MDN门户网站拥有超过34,500个文档页面和超过20,500个贡献用户。Mozilla于2005年创建了MDN门户网站,当时该基础是从旧的Netscape项目开始的。MDN门户网站是从旧的Netscape Navigator浏览器文档发展而来,最初被命名为Mozilla开发人员中心,后来又重新命名为Mozilla开发者网络。对于谁还记得浏览器大战,具有讽刺意味的是,微软现在正在将Edge doc页面迁移到MDN。

虽然在现代浏览器中,当网站实施强大的内容安全策略禁用内联JavaScript(“不安全内联”)时,这些保护措施在很大程度上是不必要的,但它们仍然可以为尚未使用旧版Web浏览器的用户提供保护。支持CSP。

第四,该功能经常被网站所有者误解和配置错误,因此它很少充分发挥其潜力。

发表评论