Кс-КССС-Протецтион је било безбедносно заглавље које постоји од верзије 4 Гоогле Цхроме-а. Дизајниран је да омогући алатку која проверава садржај веб-сајта да ли се одражава скриптовање на више локација. Сви главни претраживачи су сада повукли подршку за заглавље јер је на крају унело безбедносне пропусте. Веома се препоручује да уопште не постављате заглавље и уместо тога конфигуришете снажну политику безбедности садржаја.
Савет: Скриптовање на више локација је генерално скраћено на акроним „КССС“.
Одражено скриптовање на више локација је класа КССС рањивости где је експлоатација директно кодирана у УРЛ-у и утиче само на корисника који посећује УРЛ. Одражени КССС је ризик када веб страница приказује податке са УРЛ-а. На пример, ако вам веб продавница дозвољава да претражујете производе, она може имати УРЛ који изгледа овако „вебсајт.цом/претрага? термин=поклон“ и укључите реч „поклон“ на страницу. Проблем настаје ако неко стави ЈаваСцрипт у УРЛ, ако није правилно дезинфициран, овај ЈаваСцрипт би могао да се изврши уместо да се одштампа на екрану како би требало да буде. Ако би нападач могао да превари корисника да кликне на везу са овом врстом КССС корисног оптерећења, можда ће моћи да уради ствари као што је преузимање њихове сесије.
Кс-КССС-Протецтион је био намењен откривању и спречавању ове врсте напада. Нажалост, током времена пронађени су бројни заобилазнице, па чак и рањивости у начину на који је систем функционисао. Ове рањивости су значиле да би имплементација заглавља Кс-КССС-Протецтион увела рањивост скриптовања на више локација на иначе безбедној веб локацији.
Да бисмо се заштитили од овога, уз разумевање да је заглавље Политика безбедности садржаја, уопштено скраћено на „ЦСП“, укључује функционалност за његову замену, програмери претраживача су одлучили да повуку одлика. Већина претраживача, укључујући Цхроме, Опера и Едге, или су уклонили подршку или је у случају Фирефок-а никада нису имплементирали. Препоручује се да веб локације онемогуће заглавље како би заштитили оне кориснике који још увек користе старе претраживаче са омогућеном функцијом.
Кс-КССС-Протецтион се може заменити поставком „унсафе-инлине“ у ЦСП заглављу. Могућност омогућавања овог подешавања може захтевати доста посла у зависности од веб локације, јер то значи да сав ЈаваСцрипт мора бити у спољним скриптама и не може бити директно укључен у ХТМЛ.