CubicLouve

Spring_MTの技術ブログ

ブラウザのXSSフィルタはどうなったのか(2020/08/14 時点)

ブラウザのXSSフィルタを有効にするために、 X-XSS-Protection レスポンスヘッダーでブラウザの設定を上書きして有効にするという内容が徳丸本のp 135にでてきます。

XSSフィルターってどういう機能なんだろうと調べてみたところ、下記記事にある通り、2020/08/14 現在だとほとんどのブラウザでなくなったりしていることがわかりました。

www.zdnet.com

Chrome

ChromeではXSS Auditorという名前でXSSフィルターを実装していましたが、Chrome 78でこの機能が削除されました。

www.chromium.org

で、この機能の代わりにChrome 83で Trusted Types という新しい機能をリリースしています。

developers-jp.googleblog.com

web.dev

使い方は下記を参考にするとよさそうです。

sbfl.net

Firefox

FirefoxX-XSS-Protection レスポンスヘッダーを使ったXSSフィルターは実装していないですね。

bugzilla.mozilla.org

Safari

Safariは2020/08/14でも使えてそうですね。

IE Edge

EdgeだとXSSフィルターは削除されています。 IEはまだ使えてそうですね。

blogs.windows.com