Buzz
Bộ lọc XSS ra mắt năm 2008, tích hợp trên IE 8, sau đó mở rộng sang Edge và các trình duyệt khác như Chrome và Safari.
Bộ lọc XSS trên Edge không còn hoạt động.
Cách hoạt động của Bộ lọc XSS
Tính năng bảo mật này còn được gọi là X-XSS-Protection. Chủ sở hữu trang web có thể cấu hình header HTTP X-XSS-Protection để bảo vệ trang web của họ.
Khi trình duyệt tải một trang và phát hiện header, chúng sẽ chạy bộ lọc XSS dựa trên các giá trị trong header đó.
X-XSS-Protection: 0, X-XSS-Protection: 1, hoặc X-XSS-Protection: 1; mode=block
Khi thấy header 'X-XSS-Protection: 0', trình duyệt sẽ tắt bộ lọc XSS.
Khi thấy header 'X-XSS-Protection: 1', trình duyệt sẽ loại bỏ mã nguy hiểm từ trang và loại bỏ các mẫu tấn công XSS.
Nếu thấy 'X-XSS-Protection: 1; mode=block', trình duyệt sẽ chặn hiển thị nội dung của trang nếu phát hiện cuộc tấn công XSS.
Bộ lọc XSS của Edge không hoạt động mặc định.
Gần đây, nhà nghiên cứu về bảo mật Gareth Heyes phát hiện rằng bộ lọc XSS trên trình duyệt Edge không hoạt động đúng và bị vô hiệu hóa mặc định.
Theo nhận định của nhà nghiên cứu, bộ lọc XSS thường được kích hoạt theo mặc định. Tuy nhiên, bộ lọc đã bị tắt, thậm chí khi người dùng cố gắng bật X-XSS-Protection: 1, bộ lọc vẫn không hoạt động.
Hiện vẫn chưa có lý do chính thức từ phía Microsoft hoặc nhóm phát triển Edge về việc tại sao bộ lọc XSS bị vô hiệu hóa mặc định cho tất cả các trang web.
Có thể đó không phải là ý định từ phía Microsoft mà là một lỗi. Cụ thể, tính năng vẫn hoạt động bình thường và được kích hoạt trên trình duyệt Internet Explorer. Nếu Microsoft muốn, họ đã phải loại bỏ tính năng này trên cả hai trình duyệt.
Bên cạnh đó, có thể XSS Filter vẫn chưa được bật trên trình duyệt Edge, nhưng khi một số trang web sử dụng cài đặt bảo mật thứ ba mà hầu hết các chủ sở hữu trang web không sử dụng, vì cài đặt này sẽ ngăn Edge hiển thị trang web.
Heyes nhấn mạnh rằng cách duy nhất để kích hoạt bộ lọc XSS là sử dụng cài đặt X-XSS-Protection: 1; mode=block.
Về phía Microsoft, công ty không có bất kỳ bình luận hoặc chia sẻ nào với hãng bảo mật PortSwigger sau khi họ đưa ra ý kiến vào đầu tuần này.
Trường hợp bộ lọc XSS bị loại bỏ
Các nhà nghiên cứu tại PortSwigger cũng đưa ra giả thuyết về việc bộ lọc XSS có thể bị loại bỏ. Có nhiều lý do để không loại trừ khả năng này.
Đầu tiên, các nhà nghiên cứu có thể bỏ qua tính năng hoặc lạm dụng nó để thực hiện các cuộc tấn công khác trên trình duyệt cơ bản.
Thứ hai, Mozilla chưa bao giờ ủng hộ tính năng này và công ty phát triển cơ chế chống XSS được hỗ trợ bởi nhiều trình duyệt khác nhau.
Thứ ba, theo trang tài liệu chính thức về các tính năng web của MDN, bộ lọc XSS không còn quan trọng như trước:
'Mặc dù các biện pháp bảo vệ này phần lớn không còn cần thiết trên các trình duyệt hiện đại khi các trang web triển khai chính sách Content-Security-Policy, vô hiệu hóa việc sử dụng JavaScript không an toàn, các biện pháp này vẫn có thể bảo vệ người dùng trình duyệt web cũ hơn hỗ trợ CSP'.
Thứ tư, chủ sở hữu trang web thường hiểu nhầm tính năng này và cấu hình trang web sai lầm, dẫn đến việc tính năng hiếm khi được tận dụng hết khả năng của nó.
Cuối cùng, dù có phải là một lỗi hoặc mục đích của Microsoft là vô hiệu hóa, bộ lọc XSS vẫn không thu hút được sự quan tâm của người dùng.
Khi sử dụng trình duyệt Microsoft Edge, bạn cũng không nên bỏ qua các tổ hợp phím tắt giúp thao tác nhanh hơn trên trình duyệt này, dưới đây là danh sách phím tắt Edge.
Tiện ích dòng lệnh tuyệt vời của Windows, PowerShell cho Ubuntu có sẵn dưới dạng Snap, giúp người dùng hệ điều hành này có thể dễ dàng sử dụng PowerShell chỉ với một vài dòng lệnh cài đặt đơn giản.
