Microsoft
Funkcija zaščite X-XSS v Microsoft Edge brskalnik deluje že od njegove uvedbe leta 2008 za preprečevanje napadov na skriptna skriptna skriptna mesta, čeprav so nekateri v tehnološki industriji, na primer razvijalci Mozilla Firefox in številni analitiki, kritizirali to funkcijo, ker je Mozilla zavrnila, da bi jo vključila v njegov brskalnik, ki je odvrnil upanje za bolj integrirano izkušnjo navzkrižnega brskanja, sta Google Chrome in Microsoftov lastni Internet Explorer ohranila to funkcijo, Microsoft pa še ni objavil nobene izjave, ki bi kazala drugače. Od leta 2015 je zaščitni filter Microsoft Edge X-XSS konfiguriran tako, da filtrira takšne poskuse prečkanja kode na spletnih straneh, ne glede na to, ali je bil skript X-XSS omogočen ali ne, vendar se zdi, da je funkcija, ki je bila enkrat privzeto odkril Gareth Heyes iz PortSwigger zdaj onemogočen v brskalniku Microsoft Edge, kar je po njegovem mnenju posledica napake, saj se Microsoft še ni oglasil in prevzel odgovornosti za to spremembo.
Če brskalnik gosti glavo, ki upodablja »X-XSS-Protection: 0«, je v binarnem jeziku skriptov off in on onemogočen obrambni mehanizem za skriptiranje na več mestih. Če je vrednost nastavljena na 1, bo omogočena. Tretja izjava „X-XSS-Protection: 1; mode = block ”v celoti prepreči, da bi se spletna stran pojavila. Heyes je odkril, da čeprav naj bi bila vrednost privzeto nastavljena na 1, se zdi, da je zdaj v brskalnikih Microsoft Edge nastavljena na 0. Vendar v Microsoftovem brskalniku Internet Explorer temu ni tako. Če uporabnik poskuša obrniti to nastavitev, če uporabnik nastavi skript na 1, se vrne na 0 in funkcija ostane izključena. Ker se Microsoft ni oglasil glede te funkcije in jo Internet Explorer še naprej podpira, je mogoče sklepati, da je to posledica napake v brskalniku, za katero pričakujemo, da jo bo Microsoft odpravil v naslednji posodobitvi.
Napadi na skripte med spletnimi mesti se pojavijo, ko zaupanja vredna spletna stran uporabniku posreduje zlonamerni stranski skript. Ker je spletna stran zaupanja vredna, vsebina spletnega mesta ni filtrirana, da se zagotovi, da se takšne zlonamerne datoteke ne bodo pojavile. Glavni način, da to preprečimo, je, da v brskalniku onemogočimo HTTP TRACE za vse spletne strani. Če je heker shranil zlonamerno datoteko na spletno stran, se uporabnik, ko do nje dostopa, zažene ukaz HTTP Trace za krajo uporabnikovih piškotkov, ki jih heker lahko nato uporabi za dostop do uporabnikovih informacij in morebitno vdor v njegovo napravo. Da bi to preprečili v brskalniku, je bila uvedena funkcija X-XSS-Protection, vendar analitiki trdijo, da lahko takšni napadi izkoristijo sam filter, da dobijo informacije, ki jih iščejo. Kljub temu pa mnogi spletni brskalniki ta skript ohranjajo kot prvo obrambno črto, da bi preprečili najosnovnejše vrste lažnega predstavljanja XSS, in so vključili višje varnostne definicije, da bi popravili vse ranljivosti, ki jih predstavlja sam filter.
