„Microsoft“
X-XSS apsaugos funkcija „Microsoft Edge“ naršyklė buvo naudojama siekiant užkirsti kelią skirtingų svetainių scenarijų atakoms nuo sistemos įdiegimo 2008 m. Nors kai kurie technologijų pramonės atstovai, pavyzdžiui, „Mozilla Firefox“ kūrėjai ir keli analitikai, kritikavo šią funkciją, „Mozilla“ atsisakydami ją įtraukti į „Google Chrome“ ir „Microsoft Internet Explorer“ išlaikė šios funkcijos veikimą, o „Microsoft“ nepateikė jokio teiginio, kad vis dar būtų nurodyta kitaip. Nuo 2015 m. „Microsoft Edge X-XSS“ apsaugos filtras sukonfigūruotas taip, kad jis filtruoja tokius kodo kirtimo bandymus tinklalapiuose, neatsižvelgiant į tai, ar įgalintas X-XSS scenarijus, bet panašu, kad ši funkcija buvo vieną kartą pagal nutylėjimą atrado Garethas Heyesas iš „PortSwigger“ Dabar jis bus išjungtas naršyklėje „Microsoft Edge“, o tai, jo manymu, atsirado dėl klaidos, nes „Microsoft“ neprisiėmė atsakomybės už šį pakeitimą.
Jei naršyklėje yra antraštė, pateikianti „X-XSS-Protection: 0“, išjungtų ir įjungtų scenarijų binarine kalba, kelių svetainių scenarijų apsaugos mechanizmas bus išjungtas. Jei reikšmė nustatyta į 1, ji bus įjungta. Trečiasis teiginys „X-XSS-Protection: 1; mode = block “visiškai užblokuoja tinklalapio pasirodymą. Heyesas atrado, kad nors pagal numatytuosius nustatymus vertė turėtų būti nustatyta kaip 1, atrodo, kad „Microsoft Edge“ naršyklėse ji dabar nustatyta kaip 0. Tačiau neatrodo, kad taip yra „Microsoft Internet Explorer“ naršyklėje. Bandant pakeisti šį nustatymą, jei vartotojas nustato scenarijų į 1, jis grįžta į 0 ir funkcija lieka išjungta. Kadangi „Microsoft“ nepateikė informacijos apie šią funkciją, o „Internet Explorer“ ir toliau ją palaiko, galima daryti išvadą, kad tai yra naršyklės klaidos rezultatas, kurį mes tikimės, kad „Microsoft“ išspręs kitame atnaujinime.
Kelių svetainių scenarijų atakos įvyksta, kai patikimas tinklalapis perduoda kenkėjišką šalutinį scenarijų vartotojui. Kadangi tinklalapis yra patikimas, svetainės turinys nėra filtruojamas, kad būtų išvengta tokių kenkėjiškų failų. Pagrindinis būdas to išvengti yra užtikrinti, kad HTTP TRACE būtų išjungta naršyklėje visuose tinklalapiuose. Jei įsilaužėlis tinklalapyje išsaugojo kenkėjišką failą, kai vartotojas jį pasiekia, vykdoma HTTP sekimo komanda, kad būtų pavogti vartotojo slapukai, kuriuos įsilaužėlis savo ruožtu gali naudoti norėdamas pasiekti vartotojo informaciją ir galbūt nulaužti jo įrenginį. Norėdami to išvengti naršyklėje, buvo įdiegta „X-XSS-Protection“ funkcija, tačiau analitikai teigia, kad tokios atakos gali panaudoti patį filtrą, kad gautų ieškomą informaciją. Nepaisant to, daugelis interneto naršyklių išlaikė šį scenarijų kaip pirmąją gynybos liniją, kad būtų užkirstas kelias pagrindinėms XSS sukčiavimo rūšims, ir įtraukė aukštesnius saugumo apibrėžimus, kad pataisytų visas filtro keliamas spragas.
