Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1198822
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

分类: 网络与安全

2012-06-15 16:08:40

今天全世界像疯了一样,因为IE blog上更新的三篇blog而疯。

几乎大部分的IT网站都转载了IE的安全更新。

首先最 引人瞩目的是:XSSFilter

这个特性是在BETA2中加入的。

目前从描述来看,应该是针对的 Reflected XSS

根据提交url和返回页面的对比,判断是否有恶意脚本。

出于安全考虑,这个选项好像是默认开启的,而且无法通过配置文件关闭,设计者应该是担心用户自己关闭从而降低安全性

Compatibility is critical. This feature was developed with the understanding that if it were to “break the web,” we could not enable the feature by default. Or if we did, people would turn it off and get no benefit. We really want to provide as much value as possible to the maximum number of users.

如果要禁用这个功能,只能用他们提供给开发者的,在HTTP HEADER中加个字段:
Web developers may wish to disable the filter for their content. They can do so by setting a HTTP header: 
X-XSS-Protection: 0

虽然IE的新功能只是针对Reflected XSS,但是也可以解决大部分的问题了。

XSS的角度来说,Stored XSS的个数要远远低于Reflected XSS,虽然Stored XSS的危害更大。

我们很高兴看到MS所做出的努力,只是希望XSSFilter不要像VistaUAC一样,严重影响用户体验就好。

阅读(1288) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~