X-XSS-Protection беше заглавка за сигурност, която съществува от версия 4 на Google Chrome. Той е проектиран да активира инструмент, който проверява съдържанието на уебсайта за отразено скриптиране между сайтове. Всички основни браузъри вече са оттеглили поддръжката за заглавката, тъй като в крайна сметка той въвежда пропуски в сигурността. Силно препоръчително е изобщо да не задавате заглавката и вместо това да конфигурирате силна политика за сигурност на съдържанието.
Съвет: Междусайтовите скриптове обикновено се съкращават до акронима „XSS“.
Отразеният междусайтов скрипт е клас на XSS уязвимост, при който експлоата е директно кодирана в URL адреса и засяга само потребителя, който посещава URL адреса. Отразеният XSS представлява риск, когато уеб страницата показва данни от URL адреса. Например, ако уеб магазинът ви позволява да търсите продукти, той може да има URL, който изглежда така „website.com/search? термин=подарък“ и включете думата „подарък“ на страницата. Проблемът започва, ако някой постави JavaScript в URL адреса, ако не е добре дезинфекциран, този JavaScript може да се изпълни, а не да се отпечата на екрана, както би трябвало да бъде. Ако нападателят може да подмами потребителя да щракне върху връзка с този вид XSS полезен товар, той може да е в състояние да прави неща, като например да поеме сесията си.
X-XSS-Protection е предназначена за откриване и предотвратяване на този тип атака. За съжаление, с течение на времето бяха открити редица заобикаляния и дори уязвимости в начина на работа на системата. Тези уязвимости означават, че внедряването на заглавката на X-XSS-Protection ще въведе уязвимост при скриптиране между сайтове в иначе защитен уебсайт.
За да се предпазим от това, като се има предвид, че заглавката на Политиката за сигурност на съдържанието, като цяло съкратен до „CSP“, включва функционалност за замяната му, разработчиците на браузъра решиха да оттеглят отличителен белег. Повечето браузъри, включително Chrome, Opera и Edge, са премахнали поддръжката или в случая с Firefox никога не са я внедрили. Препоръчително е уебсайтовете да деактивират заглавката, за да защитят тези потребители, които все още използват наследени браузъри с активирана функция.
X-XSS-Protection може да бъде заменен с настройката „unsafe-inline“ в заглавката на CSP. Възможността да активирате тази настройка може да отнеме много работа в зависимост от уебсайта, тъй като това означава, че целият JavaScript трябва да бъде във външни скриптове и не може да бъде включен директно в HTML.