X-XSS-Protection

Editar
Avanzado
- Historial
- Imprimir este artículo

Saltar a:

Sintaxe
Exemplo
Especificações
Compatibilidade do navegador
Veja também

Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

O cabeçalho de resposta HTTP X-XSS-Protection é uma característica do Internet Explorer, Chrome e Safari que impede que as páginas sejam carregadas quando são detectados ataques do tipo Cross-Site Scripting Reflected. Porém essas proteções são de certa maneira desnecessárias em navegadores modernos quando as páginas implementam um sistema forte Content-Security-Policy que desativa o uso de JavaScript online ('unsafe-inline') , pois ainda proporcionam proteções para os usuários dos navegadores web antigos que não são compatíveis com CSP.

Tipo de Cabeçalho	Response header
Nome do cabeçalho proibido	não

Sintaxe

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0: Desativa o filtro XSS.
1: Habilita o filtro XSS (geralmente é pré-determinado nos navegadores). Em caso de detecção de um ataque cross-site scripting, o navegador sanitizará a página (eliminará as partes inseguras.
1; mode=block: Habilita o filtro XSS. Ao invés de sanitizar a página, o navegador evitará a visualização da página em caso que algum ataque seja detectado.
1; report=<reporting-URI> (Chromium only): Habilita o filtro XSS. Em caso que algum ataque cross-site scripting seja detectado, o navegador sanitizará a página e informará sobre a infração. Utilizaa função da diretiva CSP report-uri para enviar um reporte.

Exemplo

Bloqueia as páginas para que não carreguem quando um ataque Reflected XSS é detectado:

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Especificações

No forma parte de ninguna especificación o borrador.

Compatibilidade do navegador

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Edge Mobile	Firefox for Android	Opera for Android	Safari on iOS	Samsung Internet
Soporte básico No estándar	Chrome Soporte completo Si	Edge Soporte completo Si	Firefox Sin soporte No	IE Soporte completo 8	Opera Soporte completo Si	Safari Soporte completo Si	WebView Android Soporte completo Si	Chrome Android Soporte completo Si	Edge Mobile Soporte completo Si	Firefox Android Sin soporte No	Opera Android Soporte completo Si	Safari iOS Soporte completo Si	Samsung Internet Android Soporte completo Si

Leyenda

Soporte completo: Soporte completo
Sin soporte: Sin soporte
No estandar . Esperar poco soporte entre navegadores.: No estandar . Esperar poco soporte entre navegadores.

Veja também

Etiquetas y colaboradores del documento

Etiquetas:

Colaboradores en esta página: francinysalles, tonialfaro

Última actualización por: francinysalles, 31 jul. 2018 6:16:55

Temas relacionados