首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

X-XSS-Protection

HTTP X-XSS-Protection响应标头是 Internet Explorer, Chrome 和 Safari 的一项功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。尽管当现代浏览器实施强大的Content-Security-Policy禁用内联 JavaScript('unsafe-inline')的强大功能时,这些保护在很大程度上是不必要的,但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。

Header type

Response header

Forbidden header name

no

句法

代码语言:javascript
复制
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0: 禁止XSS过滤.

1 启用 XSS 过滤(通常在浏览器中默认):如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。

mode = block 启动 XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是过滤页面中的XSS内容。

report = <reporting-URI>(仅限 Chromium)启用 XSS 筛选。如果检测到跨站点脚本攻击,浏览器将清理页面并报告违规行为。这使用 CSP report-uri指令的功能发送报告。

当检测到反射的XSS攻击时阻止加载页面:

代码语言:javascript
复制
X-XSS-Protection: 1; mode=block

PHP

代码语言:javascript
复制
header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

代码语言:javascript
复制
<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

产品规格

不属于任何规格或草案。

浏览器兼容性

Feature

Chrome

Firefox

Edge

Internet Explorer

Opera

Safari

Basic Support

(Yes)

(No)

(Yes)

8.0

(Yes)

(Yes)

Feature

Android

Chrome for Android

Edge mobile

Firefox for Android

IE mobile

Opera Android

iOS Safari

Basic Support

(Yes)

(Yes)

(Yes)

(No)

?

(Yes)

(Yes)

扫码关注腾讯云开发者

领取腾讯云代金券