X-XSS-Protection var ett säkerhetshuvud som har funnits sedan version 4 av Google Chrome. Den designades för att möjliggöra ett verktyg som kontrollerade innehållet på webbplatsen för återspeglad cross-site scripting. Alla större webbläsare har nu dragit tillbaka stödet för rubriken eftersom det slutade med säkerhetsbrister. Det rekommenderas starkt att du inte ställer in rubriken alls och istället konfigurerar en stark innehållssäkerhetspolicy.
Tips: Cross-Site Scripting förkortas vanligtvis till akronymen "XSS".
Reflekterad cross-site scripting är en klass av XSS-sårbarhet där utnyttjandet är direkt kodat i URL: en och endast påverkar användaren som besöker URL: en. Reflekterad XSS är en risk när webbsidan visar data från URL: en. Till exempel, om en webbbutik låter dig söka efter produkter kan den mycket väl ha en URL som ser ut så här "website.com/search? term=gåva” och inkludera ordet ”gåva” på sidan. Problemet börjar om någon lägger in JavaScript i URL: en, om den inte är ordentligt sanerad, kan denna JavaScript köras snarare än att skrivas ut på skärmen som den borde vara. Om en angripare kunde lura en användare att klicka på en länk med den här typen av XSS-nyttolast kanske de kan göra saker som att ta över deras session.
X-XSS-Protection var avsett att upptäcka och förhindra denna typ av attack. Tyvärr upptäcktes med tiden ett antal förbikopplingar och till och med sårbarheter i hur systemet fungerade. Dessa sårbarheter innebar att implementering av X-XSS-Protection-huvudet skulle introducera en skriptsårbarhet över flera webbplatser på en annars säker webbplats.
För att skydda mot detta, med förbehåll för att innehållssäkerhetspolicyn i allmänhet förkortas till "CSP", innehåller funktionalitet för att ersätta den, beslutade webbläsarutvecklare att dra tillbaka den funktion. De flesta webbläsare, inklusive Chrome, Opera och Edge, har antingen tagit bort stödet eller, när det gäller Firefox, aldrig implementerat det. Det rekommenderas att webbplatser inaktiverar rubriken för att skydda de användare som fortfarande använder äldre webbläsare med funktionen aktiverad.
X-XSS-Protection kan ersättas med inställningen "osäker-inline" i CSP-huvudet. Att kunna aktivera den här inställningen kan ta mycket arbete beroende på webbplatsen, eftersom det betyder att allt JavaScript måste vara i externa skript och inte kan inkluderas i HTML direkt.