Internet Explorer XSS 过滤器指南

与 XSS 过滤器相关的 Blackhat EU 演讲讨论了一个先前已披露并在 1 月份 Internet Explorer 安全更新（MS10-002）中解决的漏洞。该攻击场景涉及修改的 HTTP 响应，使得原本不易受攻击的网站能够发生 XSS。

针对 IE XSS 过滤器的额外更新目前计划于 6 月发布。这一更改将解决 Blackhat EU 演讲中描述的 SCRIPT 标签攻击场景。该问题在恶意脚本能够从现有脚本块内的结构中“突破”时显现。尽管在 MS10-002 中识别并解决的问题存在于高流量网站上，但迄今为止，SCRIPT 标签中和攻击场景的真实案例仍然难以找到。

与许多安全问题（例如恶意软件）类似，攻击向量始终是一个移动的目标。浏览器制造商的作用是尽我们所能确保用户的安全，而无需他们做大量额外工作。

在 Internet Explorer XSS 过滤器的情况下，研究人员发现了普遍适用于所有当前内置此技术的浏览器的 XSS 过滤技术的场景。我们在 1 月（MS10-002）和 3 月（MS10-018）采取了措施来缓解这一威胁类别，并将在 6 月的时间范围内采取下一个重要步骤。总体而言，我们坚持认为使用带有 XSS 过滤器的浏览器非常重要，因为在大多数情况下，防护免受大量攻击的好处超过了漏洞带来的潜在风险。

我们期待继续改进 Internet Explorer XSS 过滤器，以应对新的攻击场景和不断演变的威胁环境。

David Ross
MSRC 工程部
本文按“原样”提供，不提供任何担保，也不授予任何权利