. Из шести известных видов XSS-нападений фильтр позволяет справиться с тремя, что уже является хорошим результатом. В частности, фильтр справился с внедрением вредоносного JavaScript-кода в AJAX (DOM-based XSS), в сам HTML и в параметр тега. Это наиболее распространенные типы XSS-атак. Однако пользователи все еще являются незащищенными от сохраненных атак, от внедрения кода в HTML-теге и в сам сценарий JavaScript.

Возможно, что вслед за Microsoft аналогичные методы защиты появятся и в других браузерах. Кроме того, на такие механизмы защиты, скорее всего, обратят внимание разработчики антивирусных программ и HIPS-защит.

Исследователи Positive Technologies обнаружили, что IE8 подвержен другому типу Web-атак, который называется "Расщепление HTTP-ответа" (HTTP Response Splitting). Он позволяет обходить защитные фильтры с помощью добавления дополнительных заголовков в HTTP-ответ сервера. Этот тип атаки могут использовать злоумышленники для отключения XSS-фильтра. Возможно, что в окончательной версии браузера эта проблема будет решена.

Поделитесь материалом с коллегами и друзьями