Microsoft
X-XSS Protection -ominaisuus Microsoft Edge selain on ollut käytössä estääkseen sivustojen välisiä komentosarjahyökkäyksiä järjestelmään sen käyttöönoton jälkeen vuonna 2008. Vaikka jotkut teknologiateollisuuden edustajat, kuten Mozilla Firefoxin kehittäjät ja useat analyytikot, ovat kritisoineet tätä ominaisuutta Mozilla kieltäytyessään sisällyttämästä sitä Google Chrome ja Microsoftin oma Internet Explorer ovat pitäneet tätä ominaisuutta käynnissä sen selaimella, joka poistaa toiveet integroituneemmasta ristiselaamiskokemuksesta, eikä Microsoftista ole vielä tullut esiin toista. Vuodesta 2015 lähtien Microsoft Edge X-XSS Protection Filter on määritetty siten, että se suodattaa tällaiset koodin ylitysyritykset verkkosivuilla riippumatta siitä, onko X-XSS-komentosarja otettu käyttöön vai ei, mutta näyttää siltä, että Gareth Heyes on havainnut kerran oletusarvoisesti PortSwigger poistetaan käytöstä nyt Microsoft Edge -selaimessa, mikä hänen mielestään johtuu virheestä, koska Microsoft ei ole esittänyt vastuuta tästä muutoksesta.
Jos selain isännöi off- ja on-komentosarjojen binaarikielellä otsikkoa, joka renderöi “X-XSS-Protection: 0”, sivustojen välinen komentosarjojen suojausmekanismi poistetaan käytöstä. Jos arvoksi asetetaan 1, se otetaan käyttöön. Kolmas lausunto ”X-XSS-Protection: 1; mode = block ”estää verkkosivun kokonaan tulemasta eteenpäin. Heyes huomasi, että vaikka arvon oletetaan olevan oletusarvoisesti 1, näyttää siltä, että Microsoft Edge -selaimissa se on nyt 0. Näin ei kuitenkaan näytä olevan Microsoftin Internet Explorer -selaimessa. Jos käyttäjä yrittää muuttaa tätä asetusta, jos käyttäjä asettaa komentosarjan arvoksi 1, se palaa takaisin arvoon 0 ja ominaisuus pysyy poissa käytöstä. Koska Microsoft ei ole esittänyt tätä ominaisuutta ja Internet Explorer tukee sitä edelleen, voidaan päätellä, että tämä johtuu selaimen virheestä, jonka odotamme Microsoftin korjaavan seuraavassa päivityksessä.
Sivustojen väliset komentosarjahyökkäykset tapahtuvat, kun luotettu verkkosivu välittää haitallisen sivuskoodin käyttäjälle. Koska verkkosivulle luotetaan, sivuston sisältöä ei suodateta sen varmistamiseksi, ettei tällaisia haitallisia tiedostoja tule eteenpäin. Tärkein tapa estää tämä on varmistaa, että HTTP TRACE poistetaan käytöstä selaimessa kaikilla verkkosivuilla. Jos hakkeri on tallentanut haitallisen tiedoston verkkosivulle, kun käyttäjä käyttää sitä, HTTP Trace -komento suoritetaan varastamaan käyttäjän evästeet, joita hakkeri puolestaan voi käyttää käyttäjän tietojen käyttämiseen ja mahdollisesti laitteen hakkerointiin. Tämän estämiseksi selaimessa otettiin käyttöön X-XSS-Protection-ominaisuus, mutta analyytikot väittävät, että tällaiset hyökkäykset pystyvät hyödyntämään itse suodatinta saadakseen etsimänsä tiedot. Siitä huolimatta monet selaimet ovat kuitenkin pitäneet tämän komentosarjan ensimmäisenä puolustuslinjana estääkseen alkeellisimmat XSS-tietojenkalastelutyypit ja ovat sisällyttäneet korkeammat turvallisuusmääritelmät paikkaamaan kaikki suodattimen itsensä aiheuttamat haavoittuvuudet.
