IE8 には XSSフィルターがついているらしい

IEBlog : IE8 Security Part IV: The XSS Filter - 葉っぱ日記

IE8にはXSS(クロス・サイトス・クリプティング)フィルターという、XSS攻撃を防ぐための機能がついているとのこと。

XSSの攻撃によってサイトが被害を受けるのはある意味仕方ないのですが、利用者が被害を受けてしまう状況はよくないのでブラウザ側で対応できるのがベターだと思います。

なお、Webデベロッパーがフィルターを無効にしたい場合は、HTTPヘッダーに以下のような記述をすればよいとのことです。

X-XSS-Protection: 0

フィルターを無効にすることがよいかは微妙ですが、IE8になって見られないサイトが続出するとそれはそれで困るので仕方ないところでしょうか。

そういえば、Firefox のアドオンである NoScript にもXSS関連の機能がありますね。

ブラウザ側でXSS被害を防ぐ機能が充実していくことに期待です。

 

■関連エントリー

• Internet Explorer 8 Beta 1 for Developers ホワイトペーパー
• IE8 の日本語版技術概要がダウンロードできるらしい
• IE8ベータ版にはCanvasが実装されていないらしい
• IE8のVirtual PCディスクイメージが無償ダウンロード可能らしい
• IE8のベータ版がリリースされたらしい
• IE8がWeb標準準拠モードで動作するように方針転換するらしい
• IE8のユーザエージェント
• IE8はデフォルトではWeb標準モードで動作しないらしい
• IE8はWeb標準準拠が進むらしい
• IE8は2008年10月までにリリース？

 

IE8,XSS