Chrome ha una protezione predefinita contro gli attacchi Reflective XSS. Questo non è un difetto che il sandboxing può risolvere. Questo sistema di protezione funziona osservando le richieste in uscita per javascript e impedendo che javascript venga eseguito nella risposta http. Nessun browser impedisce l'XSS basato su DOM o XSS memorizzato.
La protezione di Chrome è la più debole rispetto alle altre. Il filtro xss di IE non è molto buono , ma leggermente migliore di quello di Chrome . Dalla mia ricerca penso che il NoScript sia di gran lunga il migliore. Ho ignorato il filtro XSS di NoScript sfruttando la mancanza di insensibilità al contenuto e hanno risolto il problema rapidamente. Chrome e IE soffrono ancora di attacchi di insensibilità ai contenuti.
Microsoft afferma che gli attacchi di insensibilità ai contenuti contro IE non sono "vulnerabilità" e che mai correggeranno questi problemi. Chrome ha avuto un bug report aperto per questo problema e non ho visto attività per circa 6 mesi. Quindi Chrome potrebbe risolverlo alla fine, forse . Che a dire il vero entrambe sono risposte orribili al venditore. In generale, trovo che NoScript e Mozilla hanno le risposte più forti alle vulnerabilità nei loro software e come ricercatore di sicurezza con cui sono felici di lavorare