XSS Filter
Фільтри - фрагменти коду, які можуть бути виконані до і \ або після виконання дії контролера. Фільтри, при необхідності, можуть не допустити виконання запитаного дії.
- Захист від Cross-Site Scripting - найбільш поширений тип атак
- евристичні алгоритми
- автоматичне блокування
XSS-фільтр працює як компонент IE8, який переглядає всі запити і відповіді, що проходять через браузер. Коли фільтр виявляє XSS в міжсайтовий запиті, він виявляє і нейтралізує атаку, якщо вона залежить від відповіді сервера. Користувачам не ставлять питання, на які вони не можуть відповісти - IE просто блокує шкідливий скрипт від виконання.
Як можна зрозуміти, є безліч цікавих і тонких сценаріїв, які фільтр повинен обробляти правильно. Ось деякі з них:
- Фільтр повинен бути ефективний, навіть якщо атака спрямована на артефакт часто використовуваних робочих середовищ веб-додатків. Наприклад, чи буде атака помічена, якщо певний символ в запиті було втрачено або модифікований при повторному запиті;
- При фільтрації наш код не повинен надати новий сценарій для атаки, яка б відрізнялася від існуючої. Наприклад, уявіть, що фільтр можна змусити нейтралізувати закриває тег SCRIPT. В такому випадку недовірених контент з сайту пізніше може бути запущений як скрипт.
І, звичайно, на додаток до всього цього нам потрібно ефективно боротися з усіма векторами XSS-атаки, які ще не були закриті іншими способами скорочення поверхні для XSS-атаки.
Користувачеві не задаються питання, на які він не може відповісти - IE просто блокує шкідливий скрипт від виконання.
Простіше кажучи, XSS-фільтр в IE8 покликаний забезпечити глибоку захист шляхом автоматичного виявлення і запобігання найбільш поширених XSS-атаки, з якими користувачі стикаються на просторах Інтернету, без втрати продуктивності або сумісності.
Включити / Відключити фільтр можна наступним чином:
- У браузері виберіть Сервіс - Властивості обозрнвателя: