本文为译文，原文来自：
https://portswigger.net/daily-swig/xss-protection-disappears-from-microsoft-edge

快讯：

XSS Filter是微软针对其Web浏览器防御跨站脚本攻击推出的安全策略。日前，已经从Microsoft Edge中作为默认安全功能消失。

本周早些时候，PortSwigger研究员Gareth Heyes发现了这一变化，引发了有关XSS Filter是否被默认关闭，甚至微软是否已经彻底禁用它的一系列问题。

默认关闭

在最新的Microsoft Edge中，当HTTP X-XSS-Protection 到检测到页面可能存在反射型跨站脚本攻击时，它会停止加载页面。此时，在Microsoft浏览器中，有三个选项：

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block

'0' 代表禁用XSS过滤，而' 1 '表示启用XSS过滤（通常默认在浏览器中），浏览器在发生可疑的跨站脚本攻击时清理，并刷新页面。

'1 mode = block ' 启用XSS过滤，但浏览器不会清理页面，而是直接阻止页面呈现。

“默认情况下，XSS过滤器应该打开，”Heyes解释道。“但是，它现在默认关闭，即使您尝试使用X-XSS-Protection ：1功能打开它，它仍会处于关闭状态。

“目前打开它的唯一方法就是你将浏览器选项改为：X-XSS-Protection：1; mode = block。“

Heyes补充道：“我已经确认Internet Explorer未受影响，默认情况下仍会继续检测XSS攻击。”

XSS的防护

XSS Filter于2009年在Internet Explorer 8中首次亮相，微软称该功能是针对防御跨站脚本攻击的新型安全策略。

在其发布之前，前微软安全软件工程师David Ross对过滤器如何作为IE组件运行，并查看浏览器的所有请求和响应过程进行了解释。

“当过滤器在跨站请求中发现疑似XSS时，如果它在服务器的响应中被重放，则它会识别并过滤(恶意信息)，”Ross说。“用户无法收到细节信息，因为IE只是简单地阻止恶意脚本执行。”

虽然过滤器不能用来抵御所有类型的XSS攻击，但它通过阻断常见的攻击场景，以此来提高浏览器安全性。

大概三年前，当微软推出号称Internet Explorer继任者的Microsoft Edge浏览器后，XSS Filter的功能就已经被移植上(Microsoft Edge)了。

外界争议

自XSS Filter首次问世以来的九年中，安全组件就一直存在着争议，因为研究人员成功地将微软的前线防御工具整合在自身的体系上。

事实上，XSS Filter中的漏洞报告几乎与其功能本身一样陈旧。

在Black Hat Europe 2010上，研究人员Eduardo Vela Nava和David Lindsay概述了攻击者如何应用它来对加固过的网站发起跨站脚本攻击。

最近，日本安全专家Masato Kinugawa发表了一篇主要研究报告，概述了许多利用XSS Filter的跨站脚本攻击。

他解释说：“为了防御XSS攻击，XSS Filter会查询类似于XSS攻击的字符串请求，将其与页面进行比较后，并寻找请求源，如果它出现在页面中，则重写部分字符串。

就在今年，Xiayin Liu利用边缘XSS过滤器中的另一个漏洞，在从元素提供服务时绕过了内容安全策略（CSP）。

“这相当有讽刺意味，因为XSS过滤器和CSP都旨在保护用户免受XSS攻击，但是这个漏洞允许攻击者用一个XSS保护机制绕过另一个机制”Liu说。

关于误报

2016年3月，位于香港的安全专家 File Descriptor 将注意力集中在微软的反对XSS组件上。

引用在Twitter上进行的稻草民意调查的结果——其中X-XSS-Protection：0被选为最不喜欢的方法，研究人员讨论了该功能的“安全隐患”以及他们觉得它应该默认关闭的原因。

“第一个问题是它扩大了攻击面，”他在一篇博客文章中说道。“通过滥用和误报，攻击者可以有选择地禁用页面上其他无恶意行为的脚本。”

同时，反XSS过滤器的潜在缺陷引起了微软竞争对手开发者的注意。

XSS Auditor是Chrome针对跨站脚本编写的本地防御策略，也存在问题——从误报报告到发现允许攻击者对用户发动进一步攻击的旁路。

四个月前，Mozilla开发人员Frederik Braun再次证实其组织不会为Firefox开发反XSS的功能。

“已经进行过多次讨论......我们得出的结论是，目前不值得为Firefox提供内置功能，”Braun表示。

来自Mozilla的技术文档指出，“当网站实施禁用内联JavaScript 的强大内容安全策略时，这些保护在现代浏览器中并不是必要的”。

通过默认关闭其XSS过滤器，这是否标志着Microsoft的方向改变——或者是缓解该功能的误报过大的权宜之计？这些暂时，都只是我们的猜测。

而在外界众多评论与猜测之后，微软发言人公开表示：“针对此事件，我们没有什么可以回应的。”