XSSFilter in Internet Explorer 8.0

大家好，我是Robert “RSnake” Hansen。虽然有一段时间没和BlueHat团队交流了，但这只是因为我在幕后与微软团队一起忙些很酷的东西。我很惊喜地得知现在可以谈论我参与的一个项目了。David Ross之前在他的博客中提到过，但现在已经有了很大进展。他当时称之为"专注于XSS的攻击面减少方案"，因为缺乏更好的术语，但现在我们愉快地确定了一个更简短易记的名字——“XSSFilter”。

在Internet Explorer 8.0中，用户将受到保护，免受绝大多数现实世界中的XSS攻击。David花了大量时间分析最常见的变种，并构建了一个工具来隔离和防护这些攻击，保护绝大多数互联网用户。该工具特别针对反射型XSS提供保护，而不是较少见的DOM或持久型XSS变种。

XSSFilter当然不是万能药，仍然建议开发者遵循良好的编程实践，但这对我和绝大多数互联网用户来说是个好消息，他们将受到保护，免受可能甚至不知道如何拼写的攻击。最好的是，这将默认启用——要求消费者安装安全插件从来都不是很有效。将这一责任从消费者手中拿走是一个巨大的进步。

我在演讲和我的网站上谈论浏览器安全已经有一段时间了——我们不能指望程序员修复所有缺陷，特别是在遗留应用程序中。浏览器是互联网上少数重要的瓶颈点之一，在这里可以大幅缓解客户端问题，我们可以开始领先于问题。确实，XSS是一个典型的例子，说明当攻击者开始使用浏览器作为攻击Web应用程序和消费者的渠道时会发生什么。

因为我们知道要看到每个关键Web应用程序都保护自己还需要很长时间（甚至可能永远不会），所以这是针对Internet Explorer浏览器绝大多数XSS问题的一个很好的短期权宜之计。

只有时间才能告诉我们攻击者如何应对这些变化，但在短期内，我很高兴能在保护消费者的斗争中贡献一份力量，增加了一件武器。