Microsoft
X-XSS kaitse funktsioon Microsoft Edge brauser on saidiüleste skriptimisrünnakute vältimiseks süsteemi jaoks kasutusel olnud alates selle kasutuselevõtust 2008. aastal. Ehkki mõned tehnikatööstuse ettevõtted, näiteks Mozilla Firefoxi arendajad ja mitmed analüütikud, on seda funktsiooni kritiseerinud, kui Mozilla keeldus selle integreerimisest selle brauser, lükates ära lootused integreerituma ristbrauserikogemuse saamiseks, on Google Chrome ja Microsofti enda Internet Explorer seda funktsiooni töös hoidnud ning Microsofti avaldusi pole veel ilmnenud teisiti. Alates 2015. aastast on Microsoft Edge X-XSS-i kaitsefilter konfigureeritud nii, et see filtreerib selliseid koodide ületamise katseid veebilehtedel olenemata sellest, kas X-XSS-skript on lubatud või mitte, kuid tundub, et funktsioon, mis oli Gareth Heyes on avastanud vaikimisi ühe korra PortSwigger nüüd brauseris Microsoft Edge keelatud, mis on tema arvates tingitud veast, kuna Microsoft ei ole selle muudatuse eest vastutust nõudnud.
Välja ja sisse skriptide binaarkeeles keelatakse saididevahelise skriptimise kaitsemehhanism, kui brauser võõrustab päist, mis muudab „X-XSS-Protection: 0”. Kui väärtuseks on seatud 1, lubatakse see. Kolmas lause „X-XSS-Protection: 1; mode = blokeeri ”blokeerib veebilehe täieliku esitamise. Heyes avastas, et ehkki väärtuseks peaks vaikimisi olema seatud 1, näib Microsoft Edge brauserites nüüd 0 olevat. Microsofti Internet Exploreri brauseris pole see siiski nii. Kui proovite selle sätte tagasi pöörata, siis kui kasutaja seab skripti väärtusele 1, naaseb see uuesti väärtusele 0 ja funktsioon jääb välja. Kuna Microsoft pole selle funktsiooni kohta välja tulnud ja Internet Explorer toetab seda jätkuvalt, võib järeldada, et see on brauseri vea tulemus, mille eeldame Microsofti järgmises värskenduses lahendavat.
Saididevahelised skriptirünnakud tekivad siis, kui usaldusväärne veebileht edastab kasutajale pahatahtliku kõrvalskripti. Kuna veebileht on usaldusväärne, ei filtreerita saidi sisu selle tagamiseks, et selliseid pahatahtlikke faile ei ilmuks. Peamine viis selle vältimiseks on tagada, et HTTP TRACE on brauseris kõigi veebilehtede jaoks keelatud. Kui häkker on veebisaidile salvestanud pahatahtliku faili, käivitatakse kasutaja sellele juurdepääsul käsk HTTP Trace, et varastada kasutaja küpsiseid, mida häkker võib omakorda kasutada kasutaja teabele juurde pääsemiseks ja tema seadme häkkimiseks. Selle vältimiseks brauseris võeti kasutusele funktsioon X-XSS-Protection, kuid analüütikud väidavad, et sellised rünnakud suudavad filtrit ennast ära kasutada, et saada otsitavat teavet. Sellest hoolimata on paljud veebibrauserid säilitanud selle skripti esimese kaitseliinina, et vältida kõige põhilisemaid XSS-i andmepüügiliike, ja lisanud kõik turvalisuse definitsioonid, et lappida kõik filtriga kaasnevad haavatavused.
![[FIX] Viga selle foto allalaadimisel teie iCloudi teegist](https://jf-balio.pt/img/how-tos/05/error-downloading-this-photo-from-your-icloud-library.jpg)
