【TechTarget中国原创】微软计划在IE浏览器的下一个版本中增加新的安全功能,包括防御跨站脚本攻击的功能。
IE 8的beta版本将在8月发布。它带有XSS(跨站脚本攻击)过滤器,此外还提供了更好防御网络钓鱼攻击的过滤器。这些功能使开发人员工容易地跨域申请资源并分享信息,更容易的改变浏览器解决ActiveX控件的方法。特别是,开发人员将可以编写一些控件,而这些控件只有下载的用户才可以使用。
IE 8新功能的宣布是在Firefox 3发布一周后,而Firefox 3是在浏览器世界中IE的主要竞争对手的最新版本。Firefox 3也包括了更新反恶意软件和反网络钓鱼的功能,此外还有一些其它的安全更新。自从Firefox最初版本的发布以来,微软已经为IE的安全声誉奋斗可好几年了。Mozilla Foundation把Firefox定位为更安全的IE替代品。
但是在这种普遍使用的IE的最近版本中,微软在安全方面稳步前进,并且IE 8在这个方面更进一步。这个新的浏览器的最有魅力的、最有潜在用处的功能就是XSS(跨站脚本攻击)过滤器。它是为了防御Type-1 XSS攻击。这种攻击事目前比较常见的在线攻击。很多非技术用户甚至都不知道它的存在,更不用提如何解决了。IE 8中的XSS过滤器监控浏览器的所有请求和回应,并在发现XSS的时候,自动防御。用户将要看到请求页面的改良版本,可以看到攻击被阻止。
微软的安全软件工程师David Ross在宣布新功能地时候写道:“最终,我们采用了非常实用的方法——我们选择不用危及网站兼容性的方法创建过滤器。所以XSS过滤器可以防御最常见的XSS攻击,但是它不是,也不会是XSS万能药。这和ASP.NET请求确认使用的使用方法类似,但是XSS过滤器的功能要比ASP.NET功能更主动。”
此外,在IE的新版本中,数据执行保护(DEP, Data execution Protection)功能将在运行Vista SP1或XP SP3的电脑上默认激活。DEP是为了阻止恶意代码写入可设定地址的内存空间。IE的前一个版本就有这个功能,但是因为兼容性问题和其他考虑没有默认激活。