Microsoft
Ciri Perlindungan X-XSS dari Microsoft Edge penyemak imbas telah digunakan untuk mencegah serangan skrip lintas-tapak pada sistem sejak diperkenalkan pada tahun 2008. Walaupun beberapa di industri teknologi, seperti pembangun Mozilla Firefox dan beberapa penganalisis, telah mengkritik ciri ini dengan Mozilla enggan memasukkannya ke dalam penyemak imbasnya, menolak harapan untuk pengalaman melayari silang yang lebih bersepadu, Google Chrome dan Internet Explorer Microsoft sendiri telah mengekalkan ciri ini dan tidak ada pernyataan yang muncul dari Microsoft yang menunjukkan sebaliknya. Sejak 2015, Penapis Perlindungan Microsoft Edge X-XSS telah dikonfigurasi sedemikian rupa sehingga menyaring percubaan penyebaran kod seperti itu di laman web tanpa mengira sama ada skrip X-XSS telah diaktifkan atau tidak, tetapi nampaknya ciri yang sekali secara lalai telah ditemui oleh Gareth Heyes dari PortSwigger kini dilumpuhkan dalam penyemak imbas Microsoft Edge, sesuatu yang dianggapnya disebabkan oleh bug kerana Microsoft belum tampil mengaku bertanggungjawab atas perubahan ini.
Dalam bahasa binari skrip off dan on, jika penyemak imbas menghoskan tajuk yang memberikan 'X-XSS-Protection: 0', mekanisme pertahanan skrip silang laman web akan dinonaktifkan. Sekiranya nilainya ditetapkan ke 1, ia akan diaktifkan. Pernyataan ketiga mengenai “X-XSS-Protection: 1; mode = block ”menyekat laman web sepenuhnya dari depan. Heyes mendapati bahawa walaupun nilainya seharusnya ditetapkan ke 1 secara lalai, nampaknya sekarang ditetapkan ke 0 di penyemak imbas Microsoft Edge. Namun, hal ini tampaknya tidak berlaku dalam penyemak imbas Internet Explorer Microsoft. Mencuba untuk membalikkan tetapan ini, jika pengguna menetapkan skrip ke 1, ia akan kembali ke 0 dan fitur tetap mati. Oleh kerana Microsoft belum tampil mengenai fitur ini dan Internet Explorer terus mendukungnya, dapat disimpulkan bahawa ini adalah hasil bug dalam penyemak imbas yang kami harapkan Microsoft dapat menyelesaikannya dalam kemas kini berikutnya.
Serangan skrip silang laman berlaku apabila laman web yang dipercayai membawa skrip sampingan yang berniat jahat kepada pengguna. Oleh kerana laman web dipercayai, kandungan laman web tidak disaring untuk memastikan bahawa fail berbahaya seperti itu tidak muncul. Cara asas untuk mencegahnya adalah memastikan HTTP TRACE dilumpuhkan pada penyemak imbas untuk semua halaman web. Sekiranya penggodam telah menyimpan fail berbahaya di laman web, ketika pengguna mengaksesnya, perintah HTTP Trace dijalankan untuk mencuri kuki pengguna yang dapat digunakan oleh peretas untuk mengakses maklumat pengguna dan berpotensi menggodam perangkatnya. Untuk mengelakkannya dalam penyemak imbas, ciri Perlindungan X-XSS diperkenalkan tetapi penganalisis berpendapat bahawa serangan seperti itu dapat memanfaatkan penapis itu sendiri untuk mendapatkan maklumat yang mereka cari. Walaupun begitu, bagaimanapun, banyak penyemak imbas web mengekalkan skrip ini sebagai barisan pertahanan pertama untuk mencegah jenis phishing XSS yang paling asas dan telah memasukkan definisi keselamatan yang lebih tinggi untuk memperbaiki kerentanan yang ditimbulkan oleh penapis itu sendiri.
