พบ XSS Filter ของ Microsoft Edge เป็นบั๊ก

Gareth Heyes นักวิจัยด้านความปลอดภัยทางไซเบอร์ของบริษัท PortSwigger พบว่า XSS Filter ที่มีอยู่ใน เบราว์เซอร์ Microsoft Edge นั้นเป็นบั๊ก

Heyes พบว่า XSS Filter นั้นได้ถูกปิดการใช้งานอยู่ ทั้งๆ ที่ค่าเริ่มต้นควรจะเป็น เปิดการใช้งาน และแม้ว่าจะพยายามเปิดการใช้งาน โดยตั้งค่า X-XSS-Protection: 1 มันก็ยังคงสถานะปิดการใช้งานอยู่ดี

ดังนั้น วิธีเดียวที่จะเปิดใช้งานได้ ต้องตั้งค่าเป็น X-XSS-Protection: 1; mode = block เท่านั้น

สาเหตุที่ไม่สามารถเปิดใช้งาน XSS Filter ได้นั้น ทาง Microsoft ยังไม่มีประกาศใดๆ ออกมาอย่างเป็นทางการ

ในตอนนี้ นักวิจัย PortSwigger แนะนำว่าการลบ XSS Filter อาจจะเป็นหนทางที่ดีก็ได้

ที่มา: Bleeping Computer