एक्स-एक्सएसएस-प्रोटेक्शन एक सुरक्षा हेडर था जो Google क्रोम के संस्करण 4 के आसपास रहा है। इसे एक ऐसे टूल को सक्षम करने के लिए डिज़ाइन किया गया था जो प्रतिबिंबित क्रॉस-साइट स्क्रिप्टिंग के लिए वेबसाइट की सामग्री की जाँच करता था। सभी प्रमुख ब्राउज़रों ने अब हेडर के लिए समर्थन बंद कर दिया है क्योंकि यह सुरक्षा खामियों को पेश कर रहा है। यह अत्यधिक अनुशंसा की जाती है कि आप हेडर को बिल्कुल भी सेट न करें और इसके बजाय एक मजबूत सामग्री सुरक्षा नीति को कॉन्फ़िगर करें।
युक्ति: क्रॉस-साइट स्क्रिप्टिंग को आम तौर पर संक्षिप्त रूप "XSS" के रूप में संक्षिप्त किया जाता है।
प्रतिबिंबित क्रॉस-साइट स्क्रिप्टिंग एक्सएसएस भेद्यता का एक वर्ग है जहां शोषण सीधे यूआरएल में एन्कोड किया जाता है और केवल यूआरएल पर जाने वाले उपयोगकर्ता को प्रभावित करता है। जब वेबपेज यूआरएल से डेटा प्रदर्शित करता है तो रिफ्लेक्टेड एक्सएसएस एक जोखिम होता है। उदाहरण के लिए, यदि कोई वेब स्टोर आपको उत्पादों की खोज करने की अनुमति देता है तो उसका एक URL हो सकता है जो इस तरह दिखता है “website.com/search? टर्म = उपहार" और पृष्ठ पर "उपहार" शब्द शामिल करें। समस्या तब शुरू होती है जब कोई यूआरएल में जावास्क्रिप्ट डालता है, अगर इसे ठीक से साफ नहीं किया जाता है, तो इस जावास्क्रिप्ट को स्क्रीन पर मुद्रित करने के बजाय निष्पादित किया जा सकता है जैसा कि होना चाहिए। यदि कोई हमलावर किसी उपयोगकर्ता को इस प्रकार के XSS पेलोड के साथ एक लिंक पर क्लिक करने के लिए धोखा दे सकता है तो वे अपने सत्र को संभालने जैसे काम करने में सक्षम हो सकते हैं।
X-XSS-Protection का उद्देश्य इस प्रकार के हमले का पता लगाना और उसे रोकना था। दुर्भाग्य से, समय के साथ सिस्टम के काम करने के तरीके में कई बाईपास और यहां तक कि कमजोरियां भी पाई गईं। इन कमजोरियों का मतलब था कि एक्स-एक्सएसएस-प्रोटेक्शन हेडर को लागू करने से एक अन्यथा सुरक्षित वेबसाइट में क्रॉस-साइट स्क्रिप्टिंग भेद्यता का परिचय होगा।
इससे बचाव के लिए, इस समझ के साथ कि सामग्री सुरक्षा नीति हैडर, आम तौर पर "सीएसपी" के लिए छोटा, इसे बदलने के लिए कार्यक्षमता शामिल है, ब्राउज़र डेवलपर्स ने सेवानिवृत्त होने का फैसला किया विशेषता। क्रोम, ओपेरा और एज सहित अधिकांश ब्राउज़रों ने या तो समर्थन हटा दिया है या फ़ायरफ़ॉक्स के मामले में, इसे कभी लागू नहीं किया है। यह अनुशंसा की जाती है कि वेबसाइटें हेडर को अक्षम कर दें, ताकि उन उपयोगकर्ताओं की सुरक्षा की जा सके जो अभी भी विरासती ब्राउज़र का उपयोग कर रहे हैं, जिसमें सुविधा सक्षम है।
X-XSS-Protection को CSP हेडर में "असुरक्षित-इनलाइन" सेटिंग से बदला जा सकता है। इस सेटिंग को सक्षम करने में वेबसाइट के आधार पर बहुत काम लग सकता है, क्योंकि इसका मतलब है कि सभी जावास्क्रिप्ट बाहरी स्क्रिप्ट में होना चाहिए और सीधे HTML में शामिल नहीं किया जा सकता है।