Proteção contra XSS permite execução de código arbitrário em páginas que sem ela seriam seguros
Leonardo Brito | 02/12/2009 - 23h18
O Microsoft Internet Explorer 8 trouxe como novidade uma proteção contra cross-site scripting, ou XSS. No entanto, o sistema de proteção contém falhas de segurança que, se exploradas, permitem injeção de código arbitrário JavaScript em páginas que seriam seguras sem o uso da proteção.
A proteção contra XSS da Microsoft funciona filtrando respostas do servidor, modificando-as se detectar algo suspeito. É esta arquitetura que, segundo os especialistas, permite a terceiros mal-intencionados inserir código arbitrário no código das páginas. Para isso, basta ter alguma forma de controle sobre o site, fato comum em fóruns e páginas web 2.0 como redes sociais ou wikipedia.
O problema foi reconhecido pela Microsoft há vários meses, mas a empresa não tomou medidas a respeito. A Google usa sua própria proteção contra a proteção da Microsoft, desabilitando esta com um “anti-proteção-XSS”.
Fonte:
http://www.linhadefensiva.org/2009/12/falha-no-internet-explorer-8-torna-vulneraveis-paginas-antes-seguras/
Parei de usar o IE ainda na versão 6, testei outros navegadores e hoje o Crome resolve meu problema.
Na minha opinião não da pra usar IE.
