X-XSS-Protection var en sikkerhedsheader, der har eksisteret siden version 4 af Google Chrome. Det blev designet til at aktivere et værktøj, der kontrollerede indholdet af webstedet for reflekteret cross-site scripting. Alle større browsere har nu trukket tilbage understøttelse af headeren, da den endte med at introducere sikkerhedsfejl. Det anbefales stærkt, at du slet ikke indstiller overskriften og i stedet konfigurerer en stærk indholdssikkerhedspolitik.
Tip: Cross-Site Scripting er generelt forkortet til akronymet "XSS".
Afspejlet cross-site scripting er en klasse af XSS-sårbarhed, hvor udnyttelsen er direkte indkodet i URL'en og kun påvirker den bruger, der besøger URL'en. Reflekteret XSS er en risiko, når websiden viser data fra URL'en. For eksempel, hvis en webbutik giver dig mulighed for at søge efter produkter, kan den meget vel have en URL, der ser ud som denne "website.com/search? term=gave" og inkludere ordet "gave" på siden. Problemet starter, hvis nogen lægger JavaScript i URL'en, hvis det ikke er ordentligt renset, kan dette JavaScript udføres i stedet for at blive udskrevet på skærmen, som det burde være. Hvis en angriber kunne narre en bruger til at klikke på et link med denne slags XSS-nyttelast, kan de muligvis gøre ting som at overtage deres session.
X-XSS-Protection var beregnet til at opdage og forhindre denne type angreb. Desværre blev der over tid fundet en række omgåelser og endda sårbarheder i den måde, systemet fungerede på. Disse sårbarheder betød, at implementering af X-XSS-Protection-headeren ville introducere en cross-site scripting-sårbarhed på et ellers sikkert websted.
For at beskytte mod dette, med den forståelse, at overskriften Content Security Policy generelt forkortet til "CSP", inkluderer funktionalitet til at erstatte det, besluttede browserudviklere at trække sig tilbage funktion. De fleste browsere, inklusive Chrome, Opera og Edge, har enten fjernet support eller i tilfælde af Firefox aldrig implementeret det. Det anbefales, at websteder deaktiverer overskriften for at beskytte de brugere, der stadig bruger ældre browsere med funktionen aktiveret.
X-XSS-Protection kan erstattes med indstillingen "unsafe-inline" i CSP-headeren. At være i stand til at aktivere denne indstilling kan tage meget arbejde afhængigt af webstedet, da det betyder, at al JavaScript skal være i eksterne scripts og ikke kan inkluderes i HTML direkte.