Az X-XSS-Protection egy biztonsági fejléc volt, amely a Google Chrome 4-es verziója óta létezik. Úgy tervezték, hogy lehetővé tegye egy olyan eszközt, amely ellenőrzi a webhely tartalmát, hogy tükröződjön-e a webhelyek közötti szkript. Az összes főbb böngésző megszüntette a fejléc támogatását, mivel az végül biztonsági hibákat vezetett be. Erősen ajánlott, hogy egyáltalán ne állítsa be a fejlécet, hanem konfiguráljon erős tartalombiztonsági házirendet.
Tipp: A Cross-Site Scripting általában az „XSS” mozaikszóra rövidül.
A tükrözött, webhelyek közötti szkriptelés az XSS biztonsági résének egy osztálya, ahol a kihasználás közvetlenül az URL-ben van kódolva, és csak az URL-t felkereső felhasználót érinti. A tükrözött XSS kockázatot jelent, ha a weboldal adatokat jelenít meg az URL-ből. Például, ha egy webáruház lehetővé teszi a termékek keresését, akkor lehet, hogy egy URL-je így néz ki: „website.com/search? term=ajándék”, és szerepeltesse az „ajándék” szót az oldalon. A probléma akkor kezdődik, ha valaki JavaScriptet helyez el az URL-ben, és ha nincs megfelelően megtisztítva, akkor ez a JavaScript végrehajtható, nem pedig kinyomtatható a képernyőre, ahogy kellene. Ha egy támadó megtévesztheti a felhasználót, hogy egy linkre kattintson az ilyen típusú XSS-alapú rakomány segítségével, akkor képes lehet például átvenni a munkamenetét.
Az X-XSS-Protection célja az volt, hogy észlelje és megakadályozza az ilyen típusú támadásokat. Sajnos az idő múlásával számos megkerülést, sőt sebezhetőséget is találtak a rendszer működésében. Ezek a sérülékenységek azt jelentették, hogy az X-XSS-Protection fejléc megvalósítása webhelyek közötti parancsfájl-kezelési sérülékenységet vezetne be egy egyébként biztonságos webhelyen.
Az ez ellen való védekezés érdekében, azzal a tudattal, hogy a Tartalombiztonsági szabályzat fejléce általában „CSP”-re rövidítve, a lecserélésére szolgáló funkciókat tartalmazza, a böngészőfejlesztők úgy döntöttek, hogy megszüntetik a funkció. A legtöbb böngésző, köztük a Chrome, az Opera és az Edge vagy eltávolította a támogatást, vagy a Firefox esetében soha nem alkalmazta. Javasoljuk, hogy a webhelyek tiltsák le a fejlécet, hogy megvédjék azokat a felhasználókat, akik még mindig olyan régebbi böngészőket használnak, amelyeknél a funkció engedélyezve van.
Az X-XSS-Protection lecserélhető a „nem biztonságos inline” beállítással a CSP fejlécében. Ennek a beállításnak az engedélyezése a webhelytől függően sok munkát igényelhet, mivel ez azt jelenti, hogy minden JavaScript-nek külső szkriptben kell lennie, és nem lehet közvetlenül a HTML-ben szerepeltetni.