كان X-XSS-Protection عبارة عن رأس أمان موجود منذ الإصدار 4 من Google Chrome. تم تصميمه لتمكين أداة تقوم بفحص محتوى موقع الويب بحثًا عن البرمجة النصية عبر المواقع. لقد توقفت جميع المتصفحات الرئيسية الآن عن دعم الرأس حيث انتهى الأمر بإدخال ثغرات أمنية. يوصى بشدة بعدم تعيين العنوان مطلقًا وبدلاً من ذلك تكوين سياسة أمان محتوى قوية.
نصيحة: يتم اختصار البرمجة النصية عبر المواقع عمومًا بالاختصار "XSS".
البرمجة النصية عبر المواقع المنعكسة هي فئة من ثغرات XSS حيث يتم ترميز الاستغلال مباشرة في عنوان URL ويؤثر فقط على المستخدم الذي يزور عنوان URL. يمثل XSS المنعكس خطرًا عندما تعرض صفحة الويب بيانات من عنوان URL. على سبيل المثال ، إذا سمح لك متجر ويب بالبحث عن منتجات ، فقد يكون له عنوان URL يشبه "website.com/search؟ المصطلح = هدية ، وقم بتضمين كلمة "هدية" في الصفحة. تبدأ المشكلة إذا وضع شخص ما JavaScript في عنوان URL ، وإذا لم يتم تعقيمه بشكل صحيح ، فيمكن تنفيذ JavaScript هذا بدلاً من طباعته على الشاشة كما ينبغي. إذا تمكن المهاجم من خداع المستخدم للنقر فوق ارتباط بهذا النوع من حمولة XSS ، فقد يتمكن من القيام بأشياء مثل تولي جلسته.
تم تصميم X-XSS-Protection لاكتشاف ومنع هذا النوع من الهجوم. لسوء الحظ ، مع مرور الوقت ، تم العثور على عدد من التجاوزات وحتى نقاط الضعف في طريقة عمل النظام. تعني هذه الثغرات الأمنية أن تنفيذ رأس X-XSS-Protection من شأنه أن يؤدي إلى ثغرة أمنية في البرمجة النصية عبر المواقع في موقع ويب آمن بخلاف ذلك.
للحماية من ذلك ، على أساس أن عنوان سياسة أمان المحتوى بشكل عام باختصار إلى "CSP" ، يتضمن وظائف لاستبدالها ، قرر مطورو المتصفح إيقاف تشغيل خاصية. قامت معظم المتصفحات ، بما في ذلك Chrome و Opera و Edge ، بإزالة الدعم أو في حالة Firefox ، لم تقم بتنفيذه مطلقًا. من المستحسن أن تقوم مواقع الويب بتعطيل الرأس ، لحماية هؤلاء المستخدمين الذين ما زالوا يستخدمون المتصفحات القديمة مع تمكين الميزة.
يمكن استبدال X-XSS-Protection بالإعداد "nonafe-inline" في رأس CSP. قد تتطلب القدرة على تمكين هذا الإعداد الكثير من العمل اعتمادًا على موقع الويب ، حيث يعني ذلك أن جميع جافا سكريبت يجب أن تكون في نصوص خارجية ولا يمكن تضمينها في HTML مباشرة.