Microsoftは7月25日(米国時間)に公開した「Announcing Windows 10 Insider Preview Build 17723 and Build 18204 - Windows Experience BlogWindows Experience Blogにおいて、Microsoft EdgeからXSSフィルタを廃止する予定だと伝えたが、この決定に関してセキュリティ研究者のScott Helme氏が「Edge removes XSS Filter」において疑問を提示している。
-
Announcing Windows 10 Insider Preview Build 17723 and Build 18204 - Windows Experience BlogWindows Experience Blog
XSS (Cross Site Scripting; クロスサイトスクリプティング)攻撃を緩和する機能を果たすXSSフィルタは2008年にInternet Explorer 8に導入された。この機能は完璧ではないものの、XSSへの対策としては有効とされている。
しかし、Helme氏は、MicrosoftがContent Security Policy (CSP)と呼ばれる機能を使うことでXSSに対処することができるとして、XSSフィルタを廃止するようだと指摘している。
Scott Helme氏は「CSPの機能を利用することで、同等ではないもののXSSに対する策とすることはできるが、現状はCSPの適用率が低い」と指摘。トップ100万サイトにおいてCSPに対応しているサイトは4%未満だと説明している。
XSSフィルタを削除する本当の理由に関してはわからないとしているが(XSSフィルタを削除することで実装や試験がシンプルになる可能性はある)、現状でXSSフィルタを排除することに疑問を呈している。
