X-XSS-Protection oli turvapäis, mis on olnud kasutusel alates Google Chrome'i versioonist 4. See oli loodud selleks, et võimaldada tööriista, mis kontrollis veebisaidi sisu kajastatud saidiülese skriptimise osas. Kõik suuremad brauserid on nüüd lõpetanud päise toe, kuna see tõi kaasa turvavigu. Soovitatav on päist üldse mitte määrata ja selle asemel konfigureerida tugev sisuturbepoliitika.
Näpunäide: saidiülene skriptimine on üldiselt lühendatud akronüümiks XSS.
Peegeldunud saidiülene skriptimine on XSS-i haavatavuse klass, mille ärakasutamine on otse URL-is kodeeritud ja mõjutab ainult URL-i külastavat kasutajat. Peegeldunud XSS on oht, kui veebileht kuvab andmeid URL-ist. Näiteks kui veebipood võimaldab teil tooteid otsida, võib sellel olla URL, mis näeb välja selline „website.com/search? termin=kingitus” ja lisage lehele sõna „kingitus”. Probleem algab siis, kui keegi lisab URL-i JavaScripti, kui see pole korralikult puhastatud, võidakse see JavaScripti käivitada, mitte ekraanile printida, nagu peaks. Kui ründaja võib petta kasutajat seda tüüpi XSS-i kasuliku koormusega lingil klõpsama, võib ta olla võimeline tegema asju, näiteks seansi üle võtma.
X-XSS-Protection oli mõeldud seda tüüpi rünnakute tuvastamiseks ja ärahoidmiseks. Kahjuks leiti aja jooksul süsteemi toimimises mitmeid möödasõite ja isegi turvaauke. Need haavatavused tähendasid, et päise X-XSS-Protection rakendamine tooks muidu turvalisele veebisaidile sisse saidiülese skriptimise haavatavuse.
Selle eest kaitsmiseks, mõistes, et sisu turvapoliitika päis üldiselt lühendatud "CSP"-ks, sisaldab selle asendamise funktsioone, otsustasid brauseri arendajad oma kasutusest loobuda tunnusjoon. Enamik brausereid, sealhulgas Chrome, Opera ja Edge, on kas eemaldanud toe või Firefoxi puhul pole seda kunagi rakendanud. Soovitatav on veebisaitidel päis keelata, et kaitsta neid kasutajaid, kes kasutavad endiselt pärandbrausereid, mille funktsioon on lubatud.
X-XSS-Protectioni saab asendada CSP päises sättega "ubaturvaline sisemine". Selle sätte lubamine võib olenevalt veebisaidist võtta palju tööd, kuna see tähendab, et kogu JavaScript peab olema välistes skriptides ja seda ei saa otse HTML-i lisada.