Microsoft
X-XSS-beskyttelsesfunktionen i Microsoft Edge browseren har været på plads for at forhindre cross-site scripting-angreb på systemet siden dets introduktion i 2008. Selvom nogle i den tekniske industri, såsom udviklerne af Mozilla Firefox og flere analytikere, har kritiseret denne funktion med Mozilla, der nægter at integrere den i sin browser, der afviser håb om en mere integreret cross-browsing-oplevelse, har Google Chrome og Microsofts egen Internet Explorer holdt denne funktion kørende, og der er endnu ikke kommet noget udsagn fra Microsoft, der indikerer andet. Siden 2015 er Microsoft Edge X-XSS-beskyttelsesfilteret konfigureret på en sådan måde, at det filtrerer sådanne kodekrydsningsforsøg på websider, uanset om X-XSS-scriptet er aktiveret eller ej, men det ser ud til, at den funktion, der var en gang som standard er blevet opdaget af Gareth Heyes fra PortSwigger for nu at blive deaktiveret i Microsoft Edge-browseren, noget han anser for at skyldes en fejl, da Microsoft ikke er kommet frem og hævder at være ansvarlig for denne ændring.
På det binære sprog af og på scripts, hvis browseren er vært for en overskrift, der gengiver 'X-XSS-Protection: 0', deaktiveres cross-site scripting-forsvarsmekanismen. Hvis værdien er sat til 1, aktiveres den. En tredje erklæring om “X-XSS-beskyttelse: 1; mode = block ”blokerer websiden helt fra at komme frem. Heyes opdagede, at selvom værdien formodes at være sat til 1 som standard, ser det ud til, at den nu er indstillet til 0 i Microsoft Edge-browsere. Dette ser dog ikke ud til at være tilfældet i Microsofts Internet Explorer-browser. Forsøg på at vende denne indstilling, hvis en bruger sætter scriptet til 1, vender det tilbage til 0, og funktionen forbliver slået fra. Da Microsoft ikke er kommet frem om denne funktion, og Internet Explorer fortsat understøtter den, kan det konkluderes, at dette er resultatet af en fejl i browseren, som vi forventer, at Microsoft løser i den næste opdatering.
Cross-site scripting-angreb opstår, når en betroet webside fremsender et ondsindet sidescript til brugeren. Da websiden er tillid, filtreres webstedets indhold ikke for at sikre, at sådanne ondsindede filer ikke kommer frem. Den principielle måde at forhindre dette på er at sikre, at HTTP TRACE er deaktiveret i browseren for alle websider. Hvis en hacker har gemt en ondsindet fil på en webside, når en bruger får adgang til den, køres HTTP Trace-kommandoen for at stjæle brugerens cookies, som hacker igen kan bruge til at få adgang til brugerens oplysninger og potentielt hacke hans eller hendes enhed. For at forhindre dette i browseren blev X-XSS-Protection-funktionen introduceret, men analytikere hævder, at sådanne angreb er i stand til at udnytte selve filteret for at få de oplysninger, de leder efter. På trods af dette har mange webbrowsere imidlertid opretholdt dette script som en første forsvarslinje for at forhindre de mest basale former for XSS-phishing og har indarbejdet højere sikkerhedsdefinitioner for at patchere eventuelle sårbarheder, som selve filteret udgør.
![[FIX] Stop fejlkode 0x00000024 BSOD på Windows](https://jf-balio.pt/img/how-tos/02/stop-error-code-0x00000024-bsod-windows.jpg)
