X-XSS-Protection, Google Chrome'un 4. sürümünden beri var olan bir güvenlik başlığıydı. Yansıtılan siteler arası komut dosyası için web sitesinin içeriğini kontrol eden bir aracı etkinleştirmek için tasarlanmıştır. Tüm büyük tarayıcılar, güvenlik kusurları ortaya çıkardığı için artık başlık desteğini kaldırdı. Başlığı hiç ayarlamamanız ve bunun yerine güçlü bir İçerik Güvenliği Politikası yapılandırmanız şiddetle önerilir.
İpucu: Siteler Arası Komut Dosyası Çalıştırma genellikle “XSS” kısaltması olarak kısaltılır.
Yansıtılan siteler arası komut dosyası oluşturma, istismarın doğrudan URL'de kodlandığı ve yalnızca URL'yi ziyaret eden kullanıcıyı etkilediği bir XSS güvenlik açığı sınıfıdır. Yansıyan XSS, web sayfası URL'den gelen verileri görüntülediğinde bir risktir. Örneğin, bir web mağazası ürünleri aramanıza izin veriyorsa, şuna benzeyen bir URL'si olabilir: "website.com/search? terim=hediye” yazın ve sayfaya “hediye” kelimesini ekleyin. Birisi URL'ye JavaScript koyarsa sorun başlar, düzgün bir şekilde sterilize edilmemişse, bu JavaScript olması gerektiği gibi ekrana yazdırılmak yerine yürütülebilir. Bir saldırgan, bir kullanıcıyı bu tür bir XSS yüküyle bir bağlantıya tıklaması için kandırabilirse, oturumlarını devralmak gibi şeyler yapabilir.
X-XSS-Protection, bu tür saldırıları tespit etmek ve önlemek için tasarlandı. Ne yazık ki, zamanla sistemin çalışma biçiminde bir dizi baypas ve hatta güvenlik açığı bulundu. Bu güvenlik açıkları, X-XSS-Protection üstbilgisinin uygulanmasının, aksi takdirde güvenli bir web sitesinde siteler arası komut dosyası çalıştırma güvenlik açığı oluşturacağı anlamına geliyordu.
Buna karşı korunmak için İçerik Güvenliği Politikası başlığının genel olarak "CSP" olarak kısaltılmıştır, onun yerini alacak işlevsellik içerir, tarayıcı geliştiricileri özellik. Chrome, Opera ve Edge dahil olmak üzere çoğu tarayıcı ya desteği kaldırdı ya da Firefox'ta hiç uygulamadı. Özelliğin etkin olduğu eski tarayıcıları kullanmaya devam eden kullanıcıları korumak için web sitelerinin başlığı devre dışı bırakması önerilir.
X-XSS-Protection, CSP başlığındaki "güvenli olmayan satır içi" ayarıyla değiştirilebilir. Bu ayarı etkinleştirmek, web sitesine bağlı olarak çok fazla çalışma gerektirebilir, çünkü bu, tüm JavaScript'in harici komut dosyalarında olması gerektiği ve doğrudan HTML'ye eklenemeyeceği anlamına gelir.