X-XSS-Protection

优质
小牛编辑
131浏览
2023-12-01

HTTP X-XSS-Protection响应标头是 Internet Explorer, Chrome 和 Safari 的一项功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。尽管当现代浏览器实施强大的Content-Security-Policy禁用内联 JavaScript('unsafe-inline')的强大功能时,这些保护在很大程度上是不必要的,但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。

Header type

Response header

Forbidden header name

no

句法

X-XSS-Protection: 0X-XSS-Protection: 1X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0Disables XSS filtering.1 启用 XSS 过滤(通常在浏览器中默认)。如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。mode = blockEnables XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是消毒该页面。report = <reporting-URI>(仅限 Chromium)启用 XSS 筛选。如果检测到跨站点脚本攻击,浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。

当检测到反射的XSS攻击时阻止加载页面:

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" </IfModule>

产品规格

不属于任何规格或草案。

浏览器兼容性

Feature

Chrome

Firefox

Edge

Internet Explorer

Opera

Safari

Basic Support

(Yes)

(No)

(Yes)

8.0

(Yes)

(Yes)

Feature

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

Basic Support

(Yes)

(Yes)

(Yes)

(No)

?

(Yes)

(Yes)