X-XSS-Protection

HTTP X-XSS-Protection响应标头是 Internet Explorer， Chrome 和 Safari 的一项功能，可在检测到反射的跨站点脚本（XSS）攻击时阻止页面加载。尽管当现代浏览器实施强大的Content-Security-Policy禁用内联 JavaScript（'unsafe-inline'）的强大功能时，这些保护在很大程度上是不必要的，但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。

Header type	Response header
Forbidden header name	no

句法

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0: 禁止XSS过滤.

1 启用 XSS 过滤（通常在浏览器中默认）：如果检测到跨站点脚本攻击，浏览器将清理页面（删除不安全的部分）。

mode = block 启动 XSS 过滤。如果检测到攻击，浏览器将阻止页面的呈现，而不是过滤页面中的XSS内容。

report = <reporting-URI>（仅限 Chromium）启用 XSS 筛选。如果检测到跨站点脚本攻击，浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。

例

当检测到反射的XSS攻击时阻止加载页面：

X-XSS-Protection: 1; mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

产品规格

不属于任何规格或草案。

浏览器兼容性

Feature	Chrome	Firefox	Edge	Internet Explorer	Opera	Safari
Basic Support	(Yes)	(No)	(Yes)	8.0	(Yes)	(Yes)

Feature	Android	Chrome for Android	Edge mobile	Firefox for Android	IE mobile	Opera Android	iOS Safari
Basic Support	(Yes)	(Yes)	(Yes)	(No)	?	(Yes)	(Yes)

本文档系腾讯云开发者社区成员共同维护，如有问题请联系 cloudcommunity@tencent.com

最后更新于：2020-12-14