Jak na nowoczesną przeglądarkę przystało, Microsoft Edge jest wyposażony w mechanizmy chroniące przed atakami Cross-Site Scriptingowymi (znanymi także jako XSS). Jeden z tych mechanizmów to wprowadzony jeszcze w epoce IE (w 2008 r.) XSS Filter, zaadaptowany później też przez Chrome i Safari. Filtr pozwala stronom "mówić" przeglądarkom poprzez nagłówek HTTP, czy ma być wyrenderowana zawartość zewnętrzna. Funkcja najwyraźniej przestała działać.
Jak donosi firma PortSwigger, która zajmuje się kwestiami związanymi z bezpieczeństwem, Microsoft porzucił XSS Filter w przeglądarce Edge. Według Garetha Heyesa, badacza z PortSwigger, najnowsza wersja Edge nie używa filtra domyślnie, a gdy właściciel witryny próbuje go aktywować, przeglądarka nie odpowiada. "XSS Filter powinien być domyślnie włączony. Jest jednak domyślnie wyłączony i nawet jeśli spróbujesz go włączyć za pomocą X-XSS-Protection: 1, pozostaje on wyłączony" - twierdzi Heyes. Istnieje podejrzenie, że do Edge wkradł się błąd, jako że Internet Explorer, nadal dołączany do Windows 10, na przełącznik X-XSS-Protection odpowiada prawidłowo.
Heyes zauważył, że nadal istnieje sposób na włączenie mechanizmu w Edge: "Jedynym sposobem, by go teraz rzeczywiście włączyć, jest ustawienie nagłówka X-XSS-Protection: 1; mode=block". Niestety, nadal nie wiadomo, czy jest to intencjonalne działanie Microsoftu, czy przypadek. Za tym pierwszym przemawia fakt, iż hakerzy są w stanie exploitować XSS Filter, by nadpisywać witryny i atakować przeglądarkę. Co więcej, filtra nigdy nie zaadaptowała Mozilla, zatem nie można powiedzieć, by był on w pełni powszechnym standardem.
PortSwigger wysłał do Microsoft prośbę o komentarz, ale sztampowa odpowiedź ("We have nothing to share") niewiele wyjaśnia. Dlaczego Microsoft nie komentuje sprawy? Czy wyjaśnienie nadejdzie oficjalnymi kanałami? To zapewne okaże się niebawem.
Aktualizacja 26.07.2018: No i okazało się. Microsoft skomentował sprawę i potwierdził odesłanie filtra na emeryturę. Więcej na ten temat piszemy tutaj.
