Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.

O cabeçalho de resposta HTTP X-XSS-Protection é uma característica do Internet Explorer, Chrome e Safari que impede que as páginas sejam carregadas quando são detectados ataques do tipo Cross-Site Scripting Reflected. Porém essas proteções são de certa maneira desnecessárias em navegadores modernos quando as páginas implementam um sistema forte Content-Security-Policy que desativa o uso de JavaScript online  ('unsafe-inline') , pois ainda proporcionam proteções para os usuários dos navegadores web antigos que não são compatíveis com CSP.    

Tipo de Cabeçalho Response header
Nome do cabeçalho proibido não

Sintaxe

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
Desativa o filtro XSS.
1
Habilita o filtro XSS (geralmente é pré-determinado nos navegadores). Em caso de detecção de um ataque cross-site scripting, o navegador sanitizará a página (eliminará as partes inseguras.
1; mode=block
Habilita o filtro XSS. Ao invés de sanitizar a página, o navegador evitará a visualização da página em caso que algum ataque seja detectado.
1; report=<reporting-URI>  (Chromium only)
Habilita o filtro XSS. Em caso que algum ataque cross-site scripting seja detectado, o navegador sanitizará a página e informará sobre a infração. Utilizaa função da diretiva CSP report-uri para enviar um reporte.

Exemplo

Bloqueia as páginas para que não carreguem quando um ataque Reflected XSS é detectado:

 

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Especificações

No forma parte de ninguna especificación o borrador.

Compatibilidade do navegador

FeatureChromeEdgeFirefoxInternet ExplorerOperaSafari
Soporte básico Si Si No8 Si Si
FeatureAndroid webviewChrome para AndroidEdge mobileFirefox para AndroidOpera AndroidiOS SafariSamsung Internet
Soporte básico Si Si Si No Si Si Si

Veja também

Etiquetas y colaboradores del documento

Colaboradores en esta página: francinysalles, tonialfaro
Última actualización por: francinysalles,