Microsoft Entra beschermt tegen script injection-aanvallen

In dit artikel:

Microsoft voert in oktober 2026 een nieuwe Content Security Policy (CSP) in voor Microsoft Entra ID om cross-site scripting (XSS)-aanvallen tegen te gaan. De wijziging geldt voor de browser-gebaseerde aanmeldpagina’s op login.microsoftonline.com en staat alleen scripts toe vanaf vertrouwde Microsoft-domeinen; ongeautoriseerde of geïnjecteerde code wordt geblokkeerd. Organisaties die geen browser-extensies of tools gebruiken die code injecteren hoeven niets te doen en merken geen verschil in de gebruikerservaring. Wie wél zulke extensies of injectietools inzet, moet overstappen op alternatieven: die tools zullen ophouden te werken, al blijven gebruikers gewoon kunnen inloggen. Beheerders kunnen vooraf de impact bepalen door sign-in-flows te doorlopen met de developer console open; overtredingen worden daar in het rood getoond, maar moeten door de betreffende teams of personen zelf getest worden omdat alleen hun eigen inlogpogingen zichtbaar zijn. De maatregel raakt Microsoft Entra External ID niet en heeft alleen effect op browser-aanmeldingen. Hiermee wil Microsoft het risico van XSS-afslagen aanzienlijk verkleinen door alleen vertrouwde Microsoft-scripts tijdens het inloggen toe te staan.