X-XSS-Protection იყო უსაფრთხოების სათაური, რომელიც იყო Google Chrome-ის მე-4 ვერსიიდან. იგი შექმნილია იმისათვის, რომ ჩართოს ინსტრუმენტი, რომელიც ამოწმებს ვებსაიტის შინაარსს ასახული ჯვარედინი სკრიპტირებისთვის. ყველა მთავარ ბრაუზერს ახლა უკვე გაუქმდა სათაურის მხარდაჭერა, რადგან მან დაასრულა უსაფრთხოების ხარვეზები. რეკომენდირებულია, რომ საერთოდ არ დააყენოთ სათაური და ამის ნაცვლად დააკონფიგურიროთ ძლიერი კონტენტის უსაფრთხოების პოლიტიკა.
რჩევა: საიტის სკრიპტირება ზოგადად შემცირებულია შემოკლებით „XSS“.
ასახული ჯვარედინი სკრიპტირება არის XSS დაუცველობის კლასი, სადაც ექსპლოიტი პირდაპირ არის კოდირებული URL-ში და გავლენას ახდენს მხოლოდ იმ მომხმარებელზე, რომელიც სტუმრობს URL-ს. ასახული XSS არის რისკი, როდესაც ვებგვერდი აჩვენებს მონაცემებს URL-დან. მაგალითად, თუ ვებ მაღაზია საშუალებას გაძლევთ მოძებნოთ პროდუქტები, მას შეიძლება ჰქონდეს URL, რომელიც ასე გამოიყურება „website.com/search? ტერმინი=საჩუქარი“ და მიუთითეთ სიტყვა „საჩუქარი“ გვერდზე. პრობლემა იწყება, თუ ვინმე აყენებს JavaScript-ს URL-ში, თუ ის სათანადოდ არ არის გაწმენდილი, ეს JavaScript შეიძლება შესრულდეს და არა ეკრანზე დაბეჭდილი, როგორც ეს უნდა იყოს. თუ თავდამსხმელს შეუძლია მოატყუოს მომხმარებელი და დააწკაპუნოს ბმულზე ამ ტიპის XSS დატვირთვით, მას შეუძლია გააკეთოს ისეთი რამ, როგორიცაა მათი სესიის აღება.
X-XSS-Protection გამიზნული იყო ამ ტიპის თავდასხმის აღმოსაჩენად და თავიდან ასაცილებლად. სამწუხაროდ, დროთა განმავლობაში სისტემის მუშაობაში მრავალი შემოვლითი გზა და დაუცველობაც კი იქნა ნაპოვნი. ეს დაუცველობა ნიშნავდა, რომ X-XSS-Protection სათაურის დანერგვა შეიტანდა სკრიპტირების დაუცველობას სხვაგვარად უსაფრთხო ვებსაიტზე.
ამისგან თავის დასაცავად, იმის გაგებით, რომ კონტენტის უსაფრთხოების პოლიტიკის სათაური, ზოგადად შემცირდა „CSP“-ზე, მოიცავს მის ჩანაცვლების ფუნქციას, ბრაუზერის დეველოპერებმა გადაწყვიტეს პენსიაზე გასვლა თვისება. ბრაუზერების უმეტესობამ, Chrome-ის, Opera-სა და Edge-ის ჩათვლით, ან წაშალა მხარდაჭერა ან Firefox-ის შემთხვევაში, არასოდეს დანერგა იგი. რეკომენდირებულია ვებსაიტებმა გამორთოთ სათაური, რათა დაიცვან ის მომხმარებლები, რომლებიც ჯერ კიდევ იყენებენ ძველ ბრაუზერებს ჩართული ფუნქციით.
X-XSS-Protection შეიძლება შეიცვალოს "უსაფრთხო-შიდა" პარამეტრით CSP სათაურში. ამ პარამეტრის ჩართვას შეიძლება დიდი შრომა დასჭირდეს, ეს დამოკიდებულია ვებსაიტზე, რადგან ეს ნიშნავს, რომ ყველა JavaScript უნდა იყოს გარე სკრიპტებში და არ შეიძლება პირდაპირ HTML-ში იყოს ჩართული.