Vous l’utilisez peut être sans le savoir , mais i8 embarque un filtre XSS : qui est censé vous protéger de cette faille plutôt répandu sur les sites peu regardants.
Le hic c’est que le filtre semble permettre d’executer du code sur les sites à la base sains…
Le filtre agit très simplement, quand il détecte une possible vulnérabilité il modifie la page que vous visitez pour vous protéger.
C’est cette modification de page que certains semble pouvoir détourner pour venir vous voler vos information par exemple contenu dans un cookie.
Comme à son habitude Microsoft ne dit mot , mais Google à bel et bien confirmé la vulnérabilité:
« We’re aware of a significant flaw affecting the XSS Filter in IE8, and we’ve taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released. »
La solution la plus simple restant de désactiver ce filtre en envoyant un header spécifique :
X-XSS-Protection: 0
Et de bien tester toutes les failles possible sur votre site: