X-XSS-Protection je bila varnostna glava, ki obstaja že od različice 4 Google Chroma. Zasnovan je bil tako, da omogoči orodje, ki je preverjalo vsebino spletnega mesta za odraz skriptov med spletnimi stranmi. Vsi večji brskalniki so zdaj umaknili podporo za glavo, saj je na koncu uvedla varnostne pomanjkljivosti. Zelo priporočljivo je, da sploh ne nastavite glave in namesto tega konfigurirate močno politiko varnosti vsebine.
Nasvet: Skriptiranje med spletnimi mesti je na splošno skrajšano na akronim »XSS«.
Odraženo skriptiranje med spletnimi mesti je razred ranljivosti XSS, kjer je izkoriščanje neposredno kodirano v URL-ju in vpliva samo na uporabnika, ki obišče URL. Odražen XSS je tveganje, ko spletna stran prikazuje podatke iz URL-ja. Na primer, če vam spletna trgovina omogoča iskanje izdelkov, ima morda URL, ki je videti takole »website.com/search? izraz=darilo" in na stran vključite besedo "darilo". Težava se začne, če nekdo v URL vnese JavaScript, če ni ustrezno saniran, bi se ta JavaScript lahko izvedel in ne natisnil na zaslon, kot bi moral biti. Če bi napadalec lahko zavedel uporabnika, da klikne povezavo s tovrstno koristno obremenitvijo XSS, bo morda lahko naredil stvari, kot je prevzem njihove seje.
X-XSS-Protection je bil namenjen odkrivanju in preprečevanju te vrste napadov. Na žalost so sčasoma odkrili številne obhode in celo ranljivosti v načinu delovanja sistema. Te ranljivosti so pomenile, da bi implementacija glave X-XSS-Protection uvedla ranljivost skriptov med spletnimi mesti na sicer varnem spletnem mestu.
Za zaščito pred tem, ob upoštevanju, da je glava pravilnika o varnosti vsebine na splošno skrajšano na "CSP", vključuje funkcionalnost za njegovo zamenjavo, so se razvijalci brskalnikov odločili upokojiti funkcija. Večina brskalnikov, vključno s Chromom, Opera in Edge, je bodisi odstranila podporo ali pa je v primeru Firefoxa ni nikoli implementirala. Priporočljivo je, da spletna mesta onemogočijo glavo, da zaščitijo tiste uporabnike, ki še vedno uporabljajo stare brskalnike z omogočeno funkcijo.
X-XSS-Protection lahko zamenjate z nastavitvijo »unsafe-inline« v glavi CSP. Omogočanje te nastavitve lahko zahteva veliko dela, odvisno od spletnega mesta, saj to pomeni, da mora biti ves JavaScript v zunanjih skriptih in ga ni mogoče neposredno vključiti v HTML.