X-XSS-Protection
2023現在、メジャーなブラウザの最新バージョンは「X-XSS-Protection」ヘッダに対応していません。
代わりにContent-Security-Policy (CSP)ヘッダをご利用ください。
X-XSS-Protectionとは
X-XSS-Protectionヘッダとは、「XSSフィルタ」とよばれるクロスサイトスクリプティング(XSS)という攻撃を防御するブラウザに搭載のフィルタ機能の有効化/無効化を制御するレスポンスヘッダのこと。
全てのXSS攻撃を防げる訳ではないため、あくまでも緩和策として使われている。
設定方法
XSSフィルタを有効にする場合
XSSフィルタを有効にする場合は値を「1」にする。
デフォルトのモードでは、攻撃値をサニタイズ(無害化)した上で表示する。
「mode=block」を追加すると、XSS攻撃を検知した際に表示自体をしない。
XSSフィルタを無効にする場合
XSSフィルタを無効にする場合は値を「0」にする。