X-XSS-Protection was een beveiligingsheader die al bestaat sinds versie 4 van Google Chrome. Het werd ontworpen om een tool mogelijk te maken die de inhoud van de website controleerde op gereflecteerde cross-site scripting. Alle grote browsers hebben nu de ondersteuning voor de header stopgezet omdat deze beveiligingsfouten introduceerde. Het wordt ten zeerste aanbevolen om de header helemaal niet in te stellen en in plaats daarvan een sterk beleid voor inhoudsbeveiliging te configureren.
Tip: Cross-Site Scripting wordt over het algemeen afgekort tot het acroniem “XSS”.
Weerspiegelde cross-site scripting is een klasse van XSS-kwetsbaarheid waarbij de exploit rechtstreeks in de URL is gecodeerd en alleen de gebruiker treft die de URL bezoekt. Reflected XSS is een risico wanneer de webpagina gegevens van de URL weergeeft. Als u in een webwinkel bijvoorbeeld naar producten kunt zoeken, heeft deze mogelijk een URL die er zo uitziet: 'website.com/search? term=gift” en voeg het woord “gift” toe aan de pagina. Het probleem begint als iemand JavaScript in de URL plaatst, als het niet goed is opgeschoond, kan dit JavaScript worden uitgevoerd in plaats van op het scherm te worden afgedrukt zoals het zou moeten. Als een aanvaller een gebruiker zou kunnen misleiden om op een link te klikken met dit soort XSS-payload, kunnen ze mogelijk dingen doen zoals hun sessie overnemen.
X-XSS-Protection was bedoeld om dit soort aanvallen te detecteren en te voorkomen. Helaas zijn er in de loop van de tijd een aantal omleidingen en zelfs kwetsbaarheden gevonden in de manier waarop het systeem werkte. Deze kwetsbaarheden betekenden dat het implementeren van de X-XSS-Protection-header een cross-site scripting-kwetsbaarheid zou introduceren op een anders veilige website.
Om hiertegen te beschermen, met dien verstande dat de kop Inhoudsbeveiligingsbeleid, over het algemeen: afgekort tot "CSP", inclusief functionaliteit om het te vervangen, hebben browserontwikkelaars besloten de functie. De meeste browsers, waaronder Chrome, Opera en Edge, hebben de ondersteuning verwijderd of, in het geval van Firefox, nooit geïmplementeerd. Het wordt aanbevolen dat websites de koptekst uitschakelen om die gebruikers te beschermen die nog steeds oudere browsers gebruiken terwijl de functie is ingeschakeld.
X-XSS-Protection kan worden vervangen door de instelling "unsafe-inline" in de CSP-header. Het inschakelen van deze instelling kan veel werk vergen, afhankelijk van de website, omdat dit betekent dat alle JavaScript in externe scripts moet staan en niet rechtstreeks in de HTML kan worden opgenomen.