Esta traducción está incompleta. Por favor, ayuda a traducir este artículo del inglés.
O cabeçalho de resposta HTTP X-XSS-Protection é uma característica do Internet Explorer, Chrome e Safari que impede que as páginas sejam carregadas quando são detectados ataques do tipo Cross-Site Scripting Reflected. Porém essas proteções são de certa maneira desnecessárias em navegadores modernos quando as páginas implementam um sistema forte Content-Security-Policy que desativa o uso de JavaScript online ('unsafe-inline') , pois ainda proporcionam proteções para os usuários dos navegadores web antigos que não são compatíveis com CSP.
| Tipo de Cabeçalho | Response header |
|---|---|
| Nome do cabeçalho proibido | não |
Sintaxe
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>
- 0
- Desativa o filtro XSS.
- 1
- Habilita o filtro XSS (geralmente é pré-determinado nos navegadores). Em caso de detecção de um ataque cross-site scripting, o navegador sanitizará a página (eliminará as partes inseguras.
- 1; mode=block
- Habilita o filtro XSS. Ao invés de sanitizar a página, o navegador evitará a visualização da página em caso que algum ataque seja detectado.
- 1; report=<reporting-URI> (Chromium only)
- Habilita o filtro XSS. Em caso que algum ataque cross-site scripting seja detectado, o navegador sanitizará a página e informará sobre a infração. Utilizaa função da diretiva CSP
report-uripara enviar um reporte.
Exemplo
Bloqueia as páginas para que não carreguem quando um ataque Reflected XSS é detectado:
X-XSS-Protection: 1; mode=block
PHP
header("X-XSS-Protection: 1; mode=block");
Apache (.htaccess)
<IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" </IfModule>
Especificações
No forma parte de ninguna especificación o borrador.
Compatibilidade do navegador
The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out https://github.com/mdn/browser-compat-data and send us a pull request.
| Desktop | Mobile | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Chrome | Edge | Firefox | Internet Explorer | Opera | Safari | Android webview | Chrome for Android | Edge Mobile | Firefox for Android | Opera for Android | iOS Safari | Samsung Internet | |
| Soporte básico | Chrome Soporte completo Si | Edge Soporte completo Si | Firefox Sin soporte No | IE Soporte completo 8 | Opera Soporte completo Si | Safari Soporte completo Si | WebView Android Soporte completo Si | Chrome Android Soporte completo Si | Edge Mobile Soporte completo Si | Firefox Android Sin soporte No | Opera Android Soporte completo Si | Safari iOS Soporte completo Si | Samsung Internet Android Soporte completo Si |
Leyenda
- Soporte completo
- Soporte completo
- Sin soporte
- Sin soporte
- No estandar . Esperar poco soporte entre navegadores.
- No estandar . Esperar poco soporte entre navegadores.