Microsoft
La característica de protecció X-XSS del Microsoft Edge El navegador està previst per evitar atacs de seqüències de comandaments entre llocs al sistema des de la seva introducció el 2008. Tot i que alguns professionals de la indústria tecnològica, com ara els desenvolupadors de Mozilla Firefox i diversos analistes, han criticat aquesta característica, ja que Mozilla es nega a incorporar-la a el seu navegador, eliminant les esperances d’una experiència de navegació creuada més integrada, Google Chrome i el propi Internet Explorer de Microsoft, han mantingut aquesta funció en funcionament i no ha aparegut cap declaració de Microsoft que indiqui el contrari. Des del 2015, el filtre de protecció Microsoft Edge X-XSS s’ha configurat de manera que filtra aquests intents de creuament de codi a les pàgines web, independentment de si s’ha activat o no l’escript X-XSS, però sembla que la característica que estava un cop per defecte ha estat descobert per Gareth Heyes de PortSwigger ara es desactivarà al navegador Microsoft Edge, cosa que considera que es deu a un error, ja que Microsoft no s'ha presentat per reclamar la responsabilitat d'aquest canvi.
En el llenguatge binari de scripts off i on, si el navegador allotja una capçalera que representa 'X-XSS-Protection: 0', el mecanisme de defensa de scripts entre llocs es desactivarà. Si el valor s'estableix en 1, s'activarà. Una tercera afirmació de “X-XSS-Protection: 1; mode = block ”impedeix que la pàgina web surti completament endavant. Heyes va descobrir que, tot i que se suposa que el valor s'estableix a 1 per defecte, sembla que ara s'estableix a 0 als navegadors Microsoft Edge. Tanmateix, no sembla que sigui el cas del navegador Internet Explorer de Microsoft. Si intenteu invertir aquesta configuració, si un usuari estableix l'script a 1, torna a 0 i la funció continua desactivada. Com que Microsoft no s’ha pronunciat sobre aquesta funció i Internet Explorer continua donant suport, es pot concloure que aquest és el resultat d’un error al navegador que esperem que Microsoft resolgui en la propera actualització.
Els atacs de scripts entre llocs es produeixen quan una pàgina web de confiança transmet a l'usuari un script lateral maliciós. Com que la pàgina web és de confiança, el contingut del lloc no es filtra per garantir que aquests fitxers maliciosos no apareguin. La principal manera d’evitar-ho és assegurar-se que HTTP TRACE estigui desactivat al navegador per a totes les pàgines web. Si un pirata informàtic ha emmagatzemat un fitxer maliciós en una pàgina web, quan un usuari hi accedeix, s’executa l’ordre HTTP Trace per robar les cookies de l’usuari que, al seu torn, pot utilitzar per accedir a la informació de l’usuari i, potencialment, piratejar el seu dispositiu. Per evitar-ho al navegador, es va introduir la funció de protecció X-XSS, però els analistes argumenten que aquests atacs són capaços d’explotar el filtre mateix per obtenir la informació que estaven buscant. Malgrat això, però, molts navegadors web han mantingut aquest script com a primera línia de defensa per evitar els tipus més bàsics de pesca XSS i han incorporat definicions de seguretat més altes per corregir qualsevol vulnerabilitat que el filtre propi plantegi.
