Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

El encabezado de respuesta HTTP X-XSS-Protection es una característica de Internet Explorer, Chrome y Safari que impide que las páginas se carguen cuando detectan ataques reflejados de cross-site scripting (XSS). Aunque estas protecciones son en gran parte innecesarias en los navegadores modernos cuando los sitios implementan un sistema fuerte Content-Security-Policy que desactiva el uso de JavaScript en línea ('unsafe-inline'), todavía pueden proporcionar protecciones para usuarios de navegadores web antiguos que aún no son compatibles con CSP.

Tipo de ecabezado Response header
Nombre de encabezado prohibido no

Sintaxis

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
Desactiva el filtrado XSS.
1
Habilita el filtrado XSS (generalmente predeterminado en los navegadores). Si se detecta un ataque cross-site scripting, el navegador desinfectará la página (eliminará las partes inseguras).
1; mode=block
Habilita el filtrado XSS. En lugar de desinfectar la página, el navegador evitará la visualización de la página si se detecta un ataque.
1; report=<reporting-URI>  (Chromium only)
Habilita el filtrado XSS. Si se detecta un ataque cross-site scripting, el navegador desinfectará la página e informará de la infracción. Usa la funcionalidad de la directiva CSP report-uri para enviar el informe.

Ejemplo

Bloquea las páginas para que no se carguen cuando detecten los ataques XSS reflejados:

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Especificaciones

No forma parte de ninguna especificación o borrador.

Compatibilidad del navegador

FeatureChromeEdgeFirefoxInternet ExplorerOperaSafari
Soporte básico Si Si No8 Si Si
FeatureAndroid webviewChrome para AndroidEdge mobileFirefox para AndroidOpera AndroidiOS SafariSamsung Internet
Soporte básico Si Si Si No Si Si Si

Vea también

Etiquetas y colaboradores del documento

Colaboradores en esta página: tonialfaro
Última actualización por: tonialfaro,