X-XSS-Protection

Saltar a:

Sintaxis
Ejemplo
Especificaciones
Compatibilidad del navegador
Vea también

Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

El encabezado de respuesta HTTP X-XSS-Protection es una característica de Internet Explorer, Chrome y Safari que impide que las páginas se carguen cuando detectan ataques reflejados de cross-site scripting (XSS). Aunque estas protecciones son en gran parte innecesarias en los navegadores modernos cuando los sitios implementan un sistema fuerte Content-Security-Policy que desactiva el uso de JavaScript en línea ('unsafe-inline'), todavía pueden proporcionar protecciones para usuarios de navegadores web antiguos que aún no son compatibles con CSP.

Tipo de ecabezado	Response header
Nombre de encabezado prohibido	no

Sintaxis

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0: Desactiva el filtrado XSS.
1: Habilita el filtrado XSS (generalmente predeterminado en los navegadores). Si se detecta un ataque cross-site scripting, el navegador desinfectará la página (eliminará las partes inseguras).
1; mode=block: Habilita el filtrado XSS. En lugar de desinfectar la página, el navegador evitará la visualización de la página si se detecta un ataque.
1; report=<reporting-URI> (Chromium only): Habilita el filtrado XSS. Si se detecta un ataque cross-site scripting, el navegador desinfectará la página e informará de la infracción. Usa la funcionalidad de la directiva CSP report-uri para enviar el informe.

Ejemplo

Bloquea las páginas para que no se carguen cuando detecten los ataques XSS reflejados:

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Especificaciones

No forma parte de ninguna especificación o borrador.

Feature	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari
Soporte básico	Si	Si	No	8	Si	Si

Feature	Android webview	Chrome para Android	Edge mobile	Firefox para Android	Opera Android	iOS Safari	Samsung Internet
Soporte básico	Si	Si	Si	No	Si	Si	Si

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Edge Mobile	Firefox for Android	Opera for Android	iOS Safari	Samsung Internet
Soporte básico No estándar	Soporte completo Si	Soporte completo Si	Sin soporte No	Soporte completo 8	Soporte completo Si	Soporte completo Si	Soporte completo Si	Soporte completo Si	Soporte completo Si	Sin soporte No	Soporte completo Si	Soporte completo Si	Soporte completo Si

Leyenda

Soporte completo: Soporte completo
Sin soporte: Sin soporte
No estandar . Esperar poco soporte entre navegadores.: No estandar . Esperar poco soporte entre navegadores.

Vea también

Etiquetas y colaboradores del documento

Etiquetas:

Colaboradores en esta página: tonialfaro

Última actualización por: tonialfaro, 29 nov. 2017 0:50:49

Temas relacionados