Chinaunix首页 | 论坛 | 博客

aullik5的ChinaUnix博客

首页 |  博文目录 |  关于我

aullik5

  • 博客访问: 1172989
  • 博文数量: 272
  • 博客积分: 3899
  • 博客等级: 中校
  • 技术积分: 4734
  • 用 户 组: 普通用户
  • 注册时间: 2012-06-15 14:53
文章分类

全部博文(272)

文章存档

2012年(272)

我的朋友
最近访客
推荐博文
相关博文
IE8安全改进小评(上): XSSFilter

分类: 网络与安全

2012-06-15 16:08:40

今天全世界像疯了一样,因为IE blog上更新的三篇blog而疯。

几乎大部分的IT网站都转载了IE的安全更新。

首先最 引人瞩目的是:XSSFilter

这个特性是在BETA2中加入的。

目前从描述来看,应该是针对的 Reflected XSS

根据提交url和返回页面的对比,判断是否有恶意脚本。

出于安全考虑,这个选项好像是默认开启的,而且无法通过配置文件关闭,设计者应该是担心用户自己关闭从而降低安全性

Compatibility is critical. This feature was developed with the understanding that if it were to “break the web,” we could not enable the feature by default. Or if we did, people would turn it off and get no benefit. We really want to provide as much value as possible to the maximum number of users.

如果要禁用这个功能,只能用他们提供给开发者的,在HTTP HEADER中加个字段:
Web developers may wish to disable the filter for their content. They can do so by setting a HTTP header: 
X-XSS-Protection: 0

虽然IE的新功能只是针对Reflected XSS,但是也可以解决大部分的问题了。

XSS的角度来说,Stored XSS的个数要远远低于Reflected XSS,虽然Stored XSS的危害更大。

我们很高兴看到MS所做出的努力,只是希望XSSFilter不要像VistaUAC一样,严重影响用户体验就好。

阅读(1247) | 评论(0) | 转发(0) |
0

上一篇:关于minimize attack surface

下一篇:IE8安全改进小评(中): 其他安全特性

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6