X-XSS-Protection

Этот перевод не завершён. Пожалуйста, помогите перевести эту статью с английского

Заголовок ответа HTTP X-XSS-Protection это особенность Internet Explorer, Chrome и Safari, которая останавливает загрузку страниц при обнаружении (XSS) атаки. Хотя эти меры защиты не требуются в большинстве случаев для современных браузеров, когда сайты внедряют сильную политику безопасности контента Content-Security-Policy, которая отключает использование встроенного JavaScript ('unsafe-inline'), они могут обеспечить защиту для пользователей, использующих устаревшие версии браузеров, не поддерживающих CSP.

Тип заголовка Response header

Запрещенное имя заголовка

Forbidden header name

no

Синтаксис

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
0
Отключает фильтрацию XSS.
1
Включает фильтрацию XSS (по-умолчанию в браузерах). Если будет замечена попытка межсайтового скриптинга(XSS), браузер удалит небезопасное содержимое.
1; mode=block
Включает фильтрацию XSS. Вместо того, чтобы очищать содержимое страницы, браузер предотвратит отображение страницы, если заметит атаку.
1; report=<reporting-URI>  (Chromium only)
Включает фильтрацию XSS. При обнаружении атаки межсайтового скриптинга, браузер очистит страницу от небезопасного содержимого и сообщит о нарушении. Для отправки отчёта используется функциональные возможности директивы CSP report-uri.

Пример

Блокировка загрузки страницы, при обнаружении отражённой (непостоянной) XSS:

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

Спецификации

Не является частью каких-либо спецификай или черновиков.

Поддерживается браузерами

Update compatibility data on GitHub
КомпьютерыМобильные
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewChrome для AndroidFirefox для AndroidOpera для AndroidSafari on iOSSamsung Internet
X-XSS-Protection
Нестандартная
Chrome Нет поддержки 4 — 78Edge Нет поддержки 12 — 17Firefox Нет поддержки НетIE Полная поддержка 8Opera Нет поддержки ? — 65Safari Полная поддержка ДаWebView Android Нет поддержки НетChrome Android Нет поддержки ? — 78Firefox Android Нет поддержки НетOpera Android Нет поддержки ? — 56Safari iOS Полная поддержка ДаSamsung Internet Android Полная поддержка Да

Легенда

Полная поддержка  
Полная поддержка
Нет поддержки  
Нет поддержки
Нестандартная. Ожидается плохая кросс-браузерная поддержка.
Нестандартная. Ожидается плохая кросс-браузерная поддержка.

Смотри также