Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

O cabeçalho de resposta HTTP X-XSS-Protection é uma característica do Internet Explorer, Chrome e Safari que impede que as páginas sejam carregadas quando são detectados ataques do tipo Cross-Site Scripting Reflected. Porém essas proteções são de certa maneira desnecessárias em navegadores modernos quando as páginas implementam um sistema forte Content-Security-Policy que desativa o uso de JavaScript online  ('unsafe-inline') , pois ainda proporcionam proteções para os usuários dos navegadores web antigos que não são compatíveis com CSP.    

Tipo de Cabeçalho Response header
Nome do cabeçalho proibido não

Sintaxe

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
Desativa o filtro XSS.
1
Habilita o filtro XSS (geralmente é pré-determinado nos navegadores). Em caso de detecção de um ataque cross-site scripting, o navegador sanitizará a página (eliminará as partes inseguras.
1; mode=block
Habilita o filtro XSS. Ao invés de sanitizar a página, o navegador evitará a visualização da página em caso que algum ataque seja detectado.
1; report=<reporting-URI>  (Chromium only)
Habilita o filtro XSS. Em caso que algum ataque cross-site scripting seja detectado, o navegador sanitizará a página e informará sobre a infração. Utilizaa função da diretiva CSP report-uri para enviar um reporte.

Exemplo

Bloqueia as páginas para que não carreguem quando um ataque Reflected XSS é detectado:

 

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Especificações

No forma parte de ninguna especificación o borrador.

Compatibilidade do navegador

Update compatibility data on GitHub
DesktopMobile
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome for AndroidEdge MobileFirefox for AndroidOpera for AndroidiOS SafariSamsung Internet
Soporte básico
No estándar
Chrome Soporte completo SiEdge Soporte completo SiFirefox Sin soporte NoIE Soporte completo 8Opera Soporte completo SiSafari Soporte completo SiWebView Android Soporte completo SiChrome Android Soporte completo SiEdge Mobile Soporte completo SiFirefox Android Sin soporte NoOpera Android Soporte completo SiSafari iOS Soporte completo SiSamsung Internet Android Soporte completo Si

Leyenda

Soporte completo  
Soporte completo
Sin soporte  
Sin soporte
No estandar . Esperar poco soporte entre navegadores.
No estandar . Esperar poco soporte entre navegadores.

Veja também

Etiquetas y colaboradores del documento

Colaboradores en esta página: francinysalles, tonialfaro
Última actualización por: francinysalles,