माइक्रोसॉफ्ट
की X-XSS सुरक्षा सुविधा माइक्रोसॉफ्ट बढ़त ब्राउज़र 2008 में अपनी शुरुआत के बाद से सिस्टम पर क्रॉस-साइट स्क्रिप्टिंग हमलों को रोकने के लिए किया गया है। हालांकि टेक उद्योग में कुछ, जैसे कि मोज़िला फ़ायरफ़ॉक्स के डेवलपर्स और कई विश्लेषकों ने मोज़िला के साथ इस सुविधा की आलोचना की है, जिसमें इसे शामिल करने से इनकार कर दिया गया है। इसका ब्राउज़र, अधिक एकीकृत क्रॉस ब्राउज़िंग अनुभव के लिए आशाओं को दूर कर रहा है, Google Chrome और Microsoft के स्वयं के इंटरनेट एक्सप्लोरर ने इस सुविधा को चालू रखा है और Microsoft की ओर से कोई भी बयान अभी तक सामने नहीं आया है अन्यथा इंगित करता है। 2015 से, Microsoft Edge X-XSS प्रोटेक्शन फ़िल्टर को इस तरह से कॉन्फ़िगर किया गया है कि यह इस तरह के कोड को पार करता है, भले ही X-XSS स्क्रिप्ट सक्षम हो या न हो, वेब पेजों पर क्रॉस प्रयास किए जाते हैं, लेकिन ऐसा लगता है कि यह सुविधा थी डिफ़ॉल्ट रूप से एक बार गैरेथ हेयस द्वारा खोजा गया है PortSwigger अब Microsoft Edge ब्राउज़र में अक्षम किया जाना चाहिए, कुछ ऐसा जिसे वह बग के कारण मानता है क्योंकि Microsoft इस परिवर्तन के लिए ज़िम्मेदारी का दावा करते हुए आगे नहीं आया है।
बंद और स्क्रिप्ट पर द्विआधारी भाषा में, यदि ब्राउज़र 'X-XSS-Protection: 0' रेंडर करने वाले हेडर को होस्ट करता है, तो क्रॉस-साइट स्क्रिप्टिंग डिफेंस मैकेनिज्म को अक्षम कर दिया जाएगा। यदि मान 1 पर सेट है, तो इसे सक्षम किया जाएगा। 'X-XSS- सुरक्षा: 1' का तीसरा विवरण; मोड = ब्लॉक ”वेब पेज को पूरी तरह से आगे आने से रोकता है। हेयस ने पाया कि यद्यपि मान को डिफ़ॉल्ट रूप से 1 पर सेट किया जाना है, यह प्रतीत होता है कि अब Microsoft एज ब्राउज़रों में 0 पर सेट किया जाएगा। हालाँकि यह Microsoft के Internet Explorer ब्राउज़र में ऐसा प्रतीत नहीं होता है। इस सेटिंग को उलटने का प्रयास करते हुए, यदि कोई उपयोगकर्ता स्क्रिप्ट को 1 पर सेट करता है, तो यह 0 पर वापस लौट जाता है और सुविधा बंद रहती है। जैसा कि Microsoft इस सुविधा के बारे में आगे नहीं आया है और इंटरनेट एक्सप्लोरर इसका समर्थन करना जारी रखता है, यह निष्कर्ष निकाला जा सकता है कि यह ब्राउज़र में एक बग का परिणाम है जिसे हम Microsoft से अगले अद्यतन में हल करने की उम्मीद करते हैं।
क्रॉस-साइट स्क्रिप्टिंग हमले तब होते हैं जब एक विश्वसनीय वेब पेज उपयोगकर्ता के लिए एक दुर्भावनापूर्ण पक्ष स्क्रिप्ट को आगे बढ़ाता है। चूंकि वेब पेज पर भरोसा किया जाता है, साइट की सामग्री को यह सुनिश्चित करने के लिए फ़िल्टर नहीं किया जाता है कि ऐसी दुर्भावनापूर्ण फाइलें आगे नहीं आती हैं। इसे रोकने का सिद्धांत तरीका यह सुनिश्चित करना है कि सभी वेब पेजों के लिए HTTP TRACE ब्राउज़र पर अक्षम है। यदि किसी हैकर ने किसी वेब पेज पर कोई दुर्भावनापूर्ण फ़ाइल संग्रहीत की है, जब कोई उपयोगकर्ता इसे एक्सेस करता है, तो HTTP ट्रेस कमांड उपयोगकर्ता के कुकीज़ को चुराने के लिए चलाया जाता है, जिसे हैकर उपयोगकर्ता की जानकारी तक पहुंचने के लिए उपयोग कर सकता है और संभवतः उसके डिवाइस को हैक कर सकता है। ब्राउज़र के भीतर इसे रोकने के लिए, X-XSS-Protection फीचर पेश किया गया था, लेकिन विश्लेषकों का तर्क है कि इस तरह के हमले फ़िल्टर का फायदा उठाने में सक्षम हैं ताकि वे उस जानकारी को प्राप्त कर सकें जो वे खोज रहे हैं। हालांकि, इसके बावजूद, कई वेब ब्राउज़रों ने XSS फ़िशिंग के सबसे बुनियादी प्रकारों को रोकने के लिए इस स्क्रिप्ट को रक्षा की पहली पंक्ति के रूप में बनाए रखा है और किसी भी सुरक्षाछिद्र को पैच करने के लिए उच्च सुरक्षा परिभाषा को शामिल किया है जो फ़िल्टर खुद बनाता है।
