Cross Site Scripting atau sering kita kenal dengan XSS, merupakan salah satu celah yang berbahaya bila kita tidak hati-hati dengan hal ini. Bayangkan, pencurian data pribadi seperti login ID dan password, bisa dilakukan dengan menggunakan metode ini. Celah XSS dimanfaatkan kepada web yang bisa disusupi beberapa baris code yang akan melakukan redirect ke suatu halaman palsu. End User yang tidak teliti, bisa saja terkena imbasnya.
Browser jaman sekarang telah dilengkapi Anti Phishing Filter (pada IE 7), yang akan melakukan pengecekan terhadap suatu web, apakah web tersebut berupa phishing atau bukan. Nah, dengan adanya proteksi itu, belum menjamin bahwa browser aman untuk dipakai berselancar bebas di dunia maya. Celah itu selalu ada (ingat bahwa maling itu cerdik)...
XSS, pada kenyataannya masih sering terjadi hingga saat ini. Hal inilah yang mendorong pengembang dari IE 8 untuk memasukkan suatu ide baru untuk mencegah XSS yaitu dengan melengkapi browser IE 8 yaitu menambah fitur XSS Filter. Secara umum, arsitekturnya seperti ini:
Filtering ataupun scanning, biasanya akan melakukan proses terlebih dahulu pada suatu penampung sebelum eksekusi yang sesungguhnya. Dalam hal ini, IE 8 akan melakukan filtering terhadap website tujuan sebelum response dari website tujuan dilempar ke sisi pengguna browser. Akibat filtering ini, yang ditakutkan adalah performa yang lambat ketika mengakses suatu website. Don't Panic, alias anda tidak perlu panik karena metode XSS Filter yang akan diterapkan oleh IE 8 hanya berlaku pada halaman web yang dapat menghasilkan/mengijinkan ekseskusi suatu script (alias XSS). Dan juga, XSS filter ini tidak akan melakukan penerobosan ke halaman web tersebut sehingga bisa meminimalisir false positive. XSS Filter hanya melakukan cek & ricek terhadap URL sumber dan tujuan di dalam browser.
Lebih lengkap mengenai hal ini, bisa dibaca di http://blogs.technet.com/swi/archive/2008/08/19/ie-8-xss-filter-architecture-implementation.aspx
Cheers,
-ray-