Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
早在 2005 年,跨站点脚本 (XSS) 就被公认为最常报告的一种软件漏洞。Veracode 近期的一项研究使用了来自 Web 黑客事件数据库的数据,其结果表明 XSS 是 Web 应用程序中的最常见漏洞,在现实世界中,被利用实施攻击的可能性位居第二。
图表由 Veracode 提供;经许可使用
来自 Microsoft 安全响应中心 (MSRC) 的数据显示,报告的 XSS 漏洞数量呈持续增长态势:
报告的 XSS 漏洞数量从 2004 年至 2012 年(上半年)保持持续增长
以上图表显示了 XSS 漏洞如何开始逐年在百分比上超过报告的其他类型漏洞。
为了帮助保护用户,Internet Explorer 率先实施了针对 XSS 的多重缓解技术,包括 httpOnly Cookie、 security=restricted IFRAMES、 toStaticHTML() 以及 IE XSS 筛选器。IE10 支持新的 HTML5 标准 IFRAME 沙盒,它使 Web 应用程序开发人员能够更加严密地控制嵌入内容的行为。我们决心继续在这个领域进行投资,因为在现实世界中,数据所面临的 XSS 漏洞数量仍然呈上升趋势。
为了解 IE XSS 筛选器的作用,我们对在 2012 年上半年向 MSRC 报告的所有漏洞进行了深入分析。该分析表明,IE XSS 筛选器当前适用于向 MSRC 报告的 37% 的非法漏洞。(从某些角度来说,另外一个报告很多的漏洞类别是内存安全,涵盖同一数据集中的 24% 漏洞。)
IE XSS 筛选器只是我们浏览器的威胁缓解策略的一个示例,这些策略不仅限于内存安全缓解(例如 ASLR 和 DEP/NX)。随着更多客户和企业开始使用 Web 技术,缓解 XSS 和其他 Web 应用程序漏洞也变得日益重要。我们非常高兴地看到这些缓解手段对 XSS 威胁产生了影响,并且期望将来继续在这一领域中进行创新。
— Microsoft 安全响应中心首席安全软件工程师 David Ross