Фильтр IE8 XSS: что это действительно делает?

У Internet Explorer 8 есть новый механизм безопасности, фильтр XSS, который пытается перехватить попытки сценариев поперечного места. Это описало этот путь:

Фильтр XSS, особенность, в новинку для Internet Explorer 8, обнаруживает JavaScript в URL и ПОЧТОВЫХ запросах HTTP. Если бы JavaScript обнаружен, доказательства поисков Фильтра XSS отражения, информация, которая была бы возвращена в веб-сайт нападения, если бы запрос нападения был отправлен неизменный. Если отражение обнаружено, Фильтр XSS санирует оригинальный запрос так, чтобы дополнительный JavaScript не мог быть выполнен.

Я нахожу, что фильтр XSS умирает, даже когда нет никаких «доказательств отражения» и не начинают думать, что фильтр просто замечает, когда с просьбой обращаются к другому месту, и ответ содержит JavaScript.

Но даже который трудно проверить, потому что эффект, кажется, приходит и уходит. У IE есть различные зоны, и как раз в то самое время, когда я думаю, что воспроизвел проблему, фильтр больше не умирает, и я не знаю почему.

У кого-либо есть какие-либо подсказки, как сражаться с этим? Что действительно ищет фильтр? Есть ли какой-либо способ для хорошего парня РАЗМЕСТИТЬ данные на сторонний сайт, который может возвратить HTML, который будет показан в iframe, и не привести в действие фильтр?

Фон: я загружаю библиотеку JavaScript со стороннего места. Тот JavaScript получает некоторые данные из текущей страницы HTML и размещает его на сторонний сайт, который отвечает некоторым HTML, который будет показан в iframe. Чтобы видеть его в действии, посетите Продовольственную страницу AOL и нажмите символ «Print» чуть выше истории.