مائیکرو سافٹ
X-XSS پروٹیکشن کی خصوصیت مائیکروسافٹ ایج براؤزر 2008 میں اس کے متعارف ہونے کے بعد سے ہی نظام پر کراس سائٹ اسکرپٹ حملوں کو روکنے کے لئے جگہ بنا ہوا ہے۔ حالانکہ ٹیک انڈسٹری میں کچھ ، جیسے موزیلا فائر فاکس کے ڈویلپرز اور متعدد تجزیہ کاروں نے موزیلا کو اس میں شامل کرنے سے انکار کرتے ہوئے اس خصوصیت پر تنقید کی ہے۔ اس کا براؤزر ، ایک سے زیادہ مربوط کراس براؤزنگ کے تجربے کی امیدوں کو پھیر دیتا ہے ، گوگل کروم اور مائیکروسافٹ کے اپنے انٹرنیٹ ایکسپلورر نے اس خصوصیت کو چلتا رکھا ہے اور مائیکرو سافٹ کی جانب سے ابھی تک کوئی بیان سامنے نہیں آیا ہے ورنہ اس کا اشارہ ہے۔ 2015 کے بعد سے ، مائیکروسافٹ ایج ایکس-ایکس ایس ایس پروٹیکشن فلٹر کو اس طرح تشکیل دیا گیا ہے کہ وہ ویب صفحات پر اس طرح کے کوڈ کراسنگ کی کوششوں کو فلٹر کرتا ہے چاہے اس سے قطع نظر کہ X-XSS اسکرپٹ کو فعال کیا گیا ہے یا نہیں ، لیکن ایسا لگتا ہے کہ وہ خصوصیت جو تھی پہلے سے طے شدہ طور پر گیریٹ ہیئس آف نے دریافت کیا تھا پورٹسوگر مائیکروسافٹ ایج براؤزر میں اب غیر فعال ہونے کے ل، ، کسی چیز کی وجہ سے وہ بگ کی وجہ سے سمجھتا ہے کیونکہ مائیکروسافٹ اس تبدیلی کی ذمہ داری قبول کرنے کے لئے آگے نہیں آیا ہے۔
بائنری زبان میں اور اسکرپٹس پر ، اگر براؤزر 'X-XSS-Protection: 0' پیش کرتے ہوئے ہیڈر کی میزبانی کرتا ہے تو ، کراس سائٹ اسکرپٹنگ دفاعی میکانزم کو غیر فعال کردیا جائے گا۔ اگر قدر 1 پر سیٹ کردی گئی ہے ، تو یہ قابل ہوجائے گی۔ تیسرا بیان 'X-XSS- تحفظ: 1؛ وضع = بلاک کریں “مکمل طور پر آگے آنے سے ویب صفحہ کو روکتا ہے۔ ہییز نے دریافت کیا کہ اگرچہ قدر کو بطور ڈیفالٹ 1 مقرر کیا جانا تھا ، لیکن ایسا لگتا ہے کہ اب مائیکرو سافٹ ایج براؤزرز میں 0 پر سیٹ کیا گیا ہے۔ تاہم ، مائیکرو سافٹ کے انٹرنیٹ ایکسپلورر براؤزر میں ایسا نہیں ہوتا ہے۔ اس ترتیب کو ریورس کرنے کی کوشش کر رہا ہے ، اگر صارف اسکرپٹ 1 پر سیٹ کرتا ہے تو ، وہ 0 پر واپس آجاتا ہے اور فیچر آف رہتا ہے۔ چونکہ مائیکروسافٹ اس خصوصیت کے بارے میں آگے نہیں آیا ہے اور انٹرنیٹ ایکسپلورر اس کی حمایت جاری رکھے ہوئے ہے ، یہ نتیجہ اخذ کیا جاسکتا ہے کہ یہ براؤزر میں موجود بگ کا نتیجہ ہے جسے ہم مائیکروسافٹ کی اگلی اپ ڈیٹ میں حل کرنے کی توقع کرتے ہیں۔
کراس سائٹ اسکرپٹنگ حملے اس وقت ہوتے ہیں جب ایک قابل اعتماد ویب صفحہ صارف کو بدنیتی پر مبنی سائڈ اسکرپٹ بھیجتا ہے۔ چونکہ ویب صفحے پر بھروسہ کیا گیا ہے ، لہذا سائٹ کے مندرجات کو فلٹر نہیں کیا گیا ہے تاکہ یہ یقینی بنایا جاسکے کہ ایسی خراب فائلیں آگے نہیں آئیں۔ اس کی روک تھام کا اصولی طریقہ یہ ہے کہ تمام ویب صفحات کے لئے براؤزر پر HTTP TRACE کو غیر فعال کردیا جائے۔ اگر کسی ہیکر نے کسی بدعنوان فائل کو ویب پیج پر محفوظ کیا ہوا ہے ، جب صارف اس تک رسائی حاصل کرتا ہے تو ، HTTP ٹریس کمانڈ صارف کی کوکیز کو چرانے کے لئے چلائی جاتی ہے جسے ہیکر صارف کی معلومات تک رسائی حاصل کرنے اور ممکنہ طور پر اپنے آلے کو ہیک کرنے کے لئے استعمال کرسکتا ہے۔ برائوزر کے اندر اس کی روک تھام کے لئے ، X-XSS-تحفظ خصوصیت متعارف کروائی گئی تھی لیکن تجزیہ کاروں کا کہنا ہے کہ اس طرح کے حملے خود تلاش کرنے والے معلومات کو حاصل کرنے کے ل filter خود فلٹر کا استحصال کرسکتے ہیں۔ اس کے باوجود ، بہت سارے ویب براؤزروں نے XSS فشینگ کی بنیادی نوعیت کی بنیادی اقسام کو روکنے کے لئے اس رسم الخط کو دفاع کی پہلی لائن کے طور پر برقرار رکھا ہے اور فلٹر خود ہی لاحق خطرات کو پیچیدہ بنانے کے لئے اعلی حفاظتی تعریفیں شامل کی ہیں۔
