X-XSS-Protection oli suojausotsikko, joka on ollut käytössä Google Chromen versiosta 4 lähtien. Se suunniteltiin mahdollistamaan työkalu, joka tarkistaa sivuston sisällön näkyvien sivustojen välisten komentosarjojen varalta. Kaikki suurimmat selaimet ovat nyt lopettaneet otsikon tuen, koska se johti tietoturvapuutteisiin. On erittäin suositeltavaa, että et aseta otsikkoa ollenkaan ja määrität sen sijaan vahvan sisällön suojauskäytännön.
Vinkki: Cross-Site Scripting lyhennetään yleensä lyhenteeksi "XSS".
Reflected cross-site scripting on XSS-haavoittuvuuksien luokka, jossa hyväksikäyttö on koodattu suoraan URL-osoitteeseen ja vaikuttaa vain URL-osoitteessa vierailevaan käyttäjään. Heijastunut XSS on riski, kun verkkosivu näyttää tietoja URL-osoitteesta. Jos esimerkiksi verkkokauppa antaa sinun etsiä tuotteita, sillä voi hyvinkin olla URL-osoite, joka näyttää tältä "website.com/search? term=lahja" ja sisällytä sana "lahja" sivulla. Ongelma alkaa, jos joku laittaa JavaScriptin URL-osoitteeseen, jos sitä ei ole desinfioitu kunnolla, tämä JavaScript voidaan suorittaa sen sijaan, että se tulostettaisiin näytölle, kuten sen pitäisi. Jos hyökkääjä voi huijata käyttäjää napsauttamaan linkkiä tämäntyyppisellä XSS-hyötykuormalla, hän saattaa pystyä esimerkiksi ottamaan haltuunsa istunnon.
X-XSS-Protection oli tarkoitettu havaitsemaan ja estämään tämäntyyppiset hyökkäykset. Valitettavasti ajan mittaan järjestelmän toiminnasta löydettiin useita ohituksia ja jopa haavoittuvuuksia. Nämä haavoittuvuudet tarkoittivat, että X-XSS-Protection-otsikon käyttöönotto toisi sivustojen välisen komentosarjahaavoittuvuuden muuten suojattuun verkkosivustoon.
Suojatakseen tätä vastaan ymmärtäen, että Sisällön suojauskäytännön otsikko yleensä lyhennetty "CSP", sisältää toiminnot sen korvaamiseksi, selaimen kehittäjät päättivät lopettaa sen ominaisuus. Useimmat selaimet, mukaan lukien Chrome, Opera ja Edge, ovat joko poistaneet tuen tai Firefoxin tapauksessa ne eivät ole koskaan ottaneet sitä käyttöön. On suositeltavaa, että verkkosivustot poistavat otsikon käytöstä suojatakseen niitä käyttäjiä, jotka edelleen käyttävät vanhoja selaimia, joissa ominaisuus on käytössä.
X-XSS-Protection voidaan korvata "unsafe-inline" -asetuksella CSP-otsikossa. Tämän asetuksen ottaminen käyttöön voi vaatia paljon työtä verkkosivustosta riippuen, koska se tarkoittaa, että kaiken JavaScriptin on oltava ulkoisissa skripteissä eikä sitä voida sisällyttää suoraan HTML-koodiin.