微软正在全力制作 Windows 10 Redstone 5 更新,为这款操作系统增加新功能、引入更多 Fluent Design 元素、同时也给 Edge 浏览器等原生应用带来了一系列的改进。对于 Edge 浏览器来说,本次更新着重于安全方面的改进。早在 2008 年的时候,微软就引入了一项名叫“XSS 过滤器”的跨站脚本防护技术,并且得到了 Google Chrome 等浏览器厂商的支持。
时至今日,跨站脚本防护功能已经在世界范围内被广泛采用。对网民来说,这确实是一项伟大的技术。然而上周的一份报告披露,微软将在最新编译版本中淘汰 XSS 过滤器功能。
在昨日的一篇博客文章中,微软证实了 Windows 10 RS5 更新中,会抛弃 Edge 浏览器的 XSS 过滤器模块。
不过大家无需担心,因为该公司为 Edge 浏览器换上了更现代的防护技术:
从今日的编译版本开始,Edge 中的 XSS 过滤器将被退休。得益于更加现代的标准 —— 比如内容安全策略(Content Security Policy)—— 我司客户仍将收到保护。
微软指出,新技术提供了更强大的高性能安全机制,以阻挡内容注入式攻击,同时对各个现代浏览器有很高的兼容性。
内容安全策略(简称 CSP)可以轻松缓和包括跨站脚本(XSS)和数据注入在内的攻击类型。
不过安全研究人员 Scott Helme 指出,现在的问题是,CSP 防护技术尚未被广泛采用。
[编译自:Windows Latest]