Microsoft
Funkcia X-XSS Protection v Microsoft Edge Prehliadač bol zavedený s cieľom zabrániť skriptovacím útokom na rôzne stránky od jeho zavedenia v roku 2008. Aj keď niektorí v technologickom priemysle, napríklad vývojári Mozilla Firefox a niekoľko analytikov, túto funkciu kritizovali a Mozilla ju odmietla začleniť do jeho prehliadač, odvracajúci nádeje na integrovanejšie krížové prehliadanie, prehliadač Google Chrome a vlastný internetový prehliadač Microsoft Internet Explorer ponechali túto funkciu v prevádzke a zo spoločnosti Microsoft sa zatiaľ neobjavilo žiadne vyhlásenie, ktoré by naznačovalo opak. Od roku 2015 je filter ochrany Microsoft Edge X-XSS nakonfigurovaný tak, že filtruje také pokusy o kríženie kódu na webových stránkach bez ohľadu na to, či bol povolený skript X-XSS, ale zdá sa, že funkcia, ktorá bola kedysi štandardne objavil Gareth Heyes z PortSwigger aby bolo teraz zakázané v prehliadači Microsoft Edge, niečo, čo považuje za chybu, pretože spoločnosť Microsoft sa neprihlásila a nenesie zodpovednosť za túto zmenu.
Ak je v binárnom jazyku skriptov off a on skript hostiteľom hlavičky vykresľujúcej „X-XSS-Protection: 0“, bude obranný mechanizmus skriptovania medzi servermi deaktivovaný. Ak je hodnota nastavená na 1, bude povolená. Tretie prehlásenie o „ochrane X-XSS: 1; mode = block ”úplne zablokuje webovú stránku pred prichádzajúcim smerom. Heyes zistil, že hoci má byť hodnota predvolene nastavená na 1, v prehliadačoch Microsoft Edge sa zdá byť teraz nastavená na 0. Zdá sa však, že to nie je prípad prehliadača Microsoft Internet Explorer. Pri pokuse o zmenu tohto nastavenia, ak používateľ nastaví skript na 1, vráti sa späť na 0 a funkcia zostane vypnutá. Pretože spoločnosť Microsoft o tejto funkcii neprišla a program Internet Explorer ju naďalej podporuje, je možné dospieť k záveru, že ide o výsledok chyby v prehľadávači, ktorú očakávame od spoločnosti Microsoft pri najbližšej aktualizácii.
K útokom skriptovania medzi lokalitami dochádza, keď dôveryhodná webová stránka prenesie na používateľa škodlivý vedľajší skript. Pretože je webová stránka dôveryhodná, jej obsah sa nefiltruje, aby sa zabezpečilo, že sa škodlivé súbory nedostanú ďalej. Zásadným spôsobom, ako tomu zabrániť, je zabezpečiť, aby bol v prehliadači pre všetky webové stránky zakázaný protokol HTTP TRACE. Ak hacker uložil škodlivý súbor na webovú stránku, pri prístupe používateľa k nemu sa spustí príkaz HTTP Trace, aby sa ukradli súbory cookie používateľa, ktoré môže hacker naopak použiť na prístup k informáciám používateľa a potenciálne hacknúť jeho zariadenie. Aby sa tomu zabránilo v prehliadači, bola zavedená funkcia X-XSS-Protection, analytici však tvrdia, že takéto útoky dokážu využiť samotný filter na získanie informácií, ktoré hľadajú. Napriek tomu však mnoho webových prehľadávačov zachovalo tento skript ako prvú obrannú líniu, aby sa zabránilo najzákladnejším druhom phishingu XSS, a začlenili vyššie bezpečnostné definície, aby opravili všetky chyby zabezpečenia, ktoré samotný filter predstavuje.
