مايكروسوفت
ميزة X-XSS Protection الخاصة بـ مايكروسوفت إيدج تم وضع المتصفح لمنع هجمات البرمجة النصية عبر المواقع على النظام منذ تقديمه في عام 2008. على الرغم من أن البعض في صناعة التكنولوجيا ، مثل مطوري Mozilla Firefox والعديد من المحللين ، انتقدوا هذه الميزة مع رفض Mozilla دمجها في لقد أبقى متصفح Google Chrome و Internet Explorer الخاص بشركة Microsoft هذه الميزة قيد التشغيل ، مما أبعد الآمال في الحصول على تجربة تصفح أكثر تكاملاً ، ولم يظهر أي بيان من Microsoft يشير إلى خلاف ذلك. منذ عام 2015 ، تم تكوين عامل تصفية الحماية Microsoft Edge X-XSS بطريقة تقوم بتصفية محاولات عبور الكود على صفحات الويب بغض النظر عما إذا تم تمكين البرنامج النصي X-XSS أم لا ، ولكن يبدو أن الميزة كانت مرة واحدة افتراضيًا تم اكتشافه بواسطة Gareth Heyes من PortSwigger يتم تعطيله الآن في مستعرض Microsoft Edge ، وهو أمر يعتبره بسبب خطأ حيث لم تتقدم Microsoft تدعي مسؤوليتها عن هذا التغيير.
في اللغة الثنائية للبرامج النصية 'off and on' ، إذا كان المستعرض يستضيف رأسًا يعرض 'X-XSS-Protection: 0' ، فسيتم تعطيل آلية الدفاع عن البرمجة عبر المواقع. إذا تم تعيين القيمة على 1 ، فسيتم تمكينها. بيان ثالث لـ 'X-XSS-Protection: 1 ؛ mode = block 'يمنع صفحة الويب تمامًا من التقدم. اكتشف Heyes أنه على الرغم من أنه من المفترض أن يتم تعيين القيمة على 1 افتراضيًا ، يبدو أنها مضبوطة الآن على 0 في متصفحات Microsoft Edge. ومع ذلك ، لا يبدو أن هذا هو الحال في متصفح Microsoft Internet Explorer. في محاولة لعكس هذا الإعداد ، إذا قام المستخدم بتعيين البرنامج النصي على 1 ، فإنه يعود مرة أخرى إلى 0 وتظل الميزة معطلة. نظرًا لأن Microsoft لم تتقدم بشأن هذه الميزة ويستمر Internet Explorer في دعمها ، فيمكن الاستنتاج أن هذا نتيجة لخلل في المتصفح نتوقع أن تحله Microsoft في التحديث القادم.
تحدث هجمات البرمجة النصية عبر المواقع عندما تقوم صفحة ويب موثوق بها بإرسال برنامج نصي جانبي ضار إلى المستخدم. نظرًا لأن صفحة الويب موثوقة ، لا تتم تصفية محتويات الموقع لضمان عدم ظهور مثل هذه الملفات الضارة. الطريقة الأساسية لمنع ذلك هي التأكد من تعطيل HTTP TRACE في المتصفح لجميع صفحات الويب. إذا قام أحد المتطفلين بتخزين ملف ضار على صفحة ويب ، فعند وصول المستخدم إليه ، يتم تشغيل أمر HTTP Trace لسرقة ملفات تعريف الارتباط الخاصة بالمستخدم والتي يمكن أن يستخدمها المخترق بدوره للوصول إلى معلومات المستخدم وربما اختراق جهازه. لمنع هذا داخل المتصفح ، تم تقديم ميزة X-XSS-Protection ولكن المحللين يجادلون بأن مثل هذه الهجمات قادرة على استغلال عامل التصفية نفسه للحصول على المعلومات التي يبحثون عنها. على الرغم من ذلك ، فقد حافظت العديد من متصفحات الويب على هذا البرنامج النصي كخط دفاع أول لمنع الأنواع الأساسية من تصيد XSS الاحتيالي ودمجوا تعريفات أمان أعلى لتصحيح أي ثغرات يمثلها المرشح نفسه.
