https://blog.qife122.com/tags/xss%E8%BF%87%E6%BB%A4/ Recent content in XSS过滤 on 办公AI智能小助手 Hugo zh-cn qife Sat, 20 Sep 2025 00:55:50 +0800 https://blog.qife122.com/p/internet-explorer-xss-%E8%BF%87%E6%BB%A4%E5%99%A8%E6%8A%80%E6%9C%AF%E6%8C%87%E5%8D%97%E4%B8%8E%E5%AE%89%E5%85%A8%E6%9B%B4%E6%96%B0%E8%A7%A3%E6%9E%90/ Sat, 20 Sep 2025 00:55:50 +0800 https://blog.qife122.com/p/internet-explorer-xss-%E8%BF%87%E6%BB%A4%E5%99%A8%E6%8A%80%E6%9C%AF%E6%8C%87%E5%8D%97%E4%B8%8E%E5%AE%89%E5%85%A8%E6%9B%B4%E6%96%B0%E8%A7%A3%E6%9E%90/ <h3 id="internet-explorer-xss-过滤器指南">Internet Explorer XSS 过滤器指南</h3> <p>与 XSS 过滤器相关的 Blackhat EU 演讲讨论了一个先前已披露并在 1 月份 Internet Explorer 安全更新（MS10-002）中解决的漏洞。该攻击场景涉及修改的 HTTP 响应，使得原本不易受攻击的网站能够发生 XSS。</p> https://blog.qife122.com/p/%E5%BE%AE%E8%BD%AFie8-xss%E8%BF%87%E6%BB%A4%E5%99%A8%E7%9A%84%E6%B7%B1%E5%BA%A6%E6%80%9D%E8%80%83%E4%B8%8E%E5%AE%89%E5%85%A8%E8%A7%A3%E6%9E%90/ Mon, 08 Sep 2025 23:11:58 +0800 https://blog.qife122.com/p/%E5%BE%AE%E8%BD%AFie8-xss%E8%BF%87%E6%BB%A4%E5%99%A8%E7%9A%84%E6%B7%B1%E5%BA%A6%E6%80%9D%E8%80%83%E4%B8%8E%E5%AE%89%E5%85%A8%E8%A7%A3%E6%9E%90/ <h1 id="微软ie8-xss过滤器的深度思考">微软IE8 XSS过滤器的深度思考</h1> <p>嗨，我是Trusteer的Amit Klein。<br> 不久前，微软SWI的David Ross联系我，询问我是否愿意评审新的Internet Explorer 8 XSS过滤器。鸡喜欢啄食吗？;-) 我当然自愿参与了。我的评审以一种相当有趣的方式进行。我没有直接访问过滤器本身。不确定这是否是故意的，但在我看来结果很好。我没有直接对抗实时过滤器，而是与David进行了一系列讨论（主要是我提问，David回答），围绕过滤器的架构和算法。在某个时候，David给了我架构概述（现在已公开）。基于David提供的信息，我提出了潜在的问题/漏洞/攻击，然后我们讨论了这些，通过这些讨论我学到了更多，导致我修订了对过滤器的心理模型，进而产生了更多潜在攻击，如此循环。我对微软在保护XSS过滤器方面已经进行的工作印象深刻。虽然beta 2过滤器并不完美，但请记住，完整版本（在IE 8中）的过滤器将基于略微不同的实现，以及（我希望）微软从所有评审beta过滤器的个人那里收集的反馈。我相信这将使微软能够为完整的IE 8版本提供一个非常强大的过滤器。</p>