X-XSS-Protection
HTTP X-XSS-Protection响应标头是 Internet Explorer, Chrome 和 Safari 的一项功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。尽管当现代浏览器实施强大的Content-Security-Policy禁用内联 JavaScript('unsafe-inline')的强大功能时,这些保护在很大程度上是不必要的,但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。
Header type | Response header |
|---|---|
Forbidden header name | no |
句法
X-XSS-Protection: 0X-XSS-Protection: 1X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>
0Disables XSS filtering.1 启用 XSS 过滤(通常在浏览器中默认)。如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。mode = blockEnables XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是消毒该页面。report = <reporting-URI>(仅限 Chromium)启用 XSS 筛选。如果检测到跨站点脚本攻击,浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。
例
当检测到反射的XSS攻击时阻止加载页面:
X-XSS-Protection: 1; mode=block
PHP
header("X-XSS-Protection: 1; mode=block");Apache (.htaccess)
<IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" </IfModule>
产品规格
不属于任何规格或草案。
浏览器兼容性
Feature | Chrome | Firefox | Edge | Internet Explorer | Opera | Safari |
|---|---|---|---|---|---|---|
Basic Support | (Yes) | (No) | (Yes) | 8.0 | (Yes) | (Yes) |
Feature | Android | Chrome for Android | Edge mobile | Firefox for Android | IE mobile | Opera Android | iOS Safari |
|---|---|---|---|---|---|---|---|
Basic Support | (Yes) | (Yes) | (Yes) | (No) | ? | (Yes) | (Yes) |