HTTP头部信息 | X-XSS-Protection

HTTP头部用于在HTTP响应或HTTP请求中传递额外的信息。HTTP头部中的X-XSS-Protection是一个功能，当检测到XSS攻击时，该功能会阻止页面的加载。随着网站使用的内容安全策略越来越完善，这一功能已经变得不再必要了。

XSS攻击：XSS指的是跨站脚本攻击。 在这种攻击中，攻击者会绕过同源策略，从而侵入那些存在漏洞的网络应用程序。 只有当生成的 HTML 代码是动态生成的，且用户输入没有被处理或净化之后，攻击者才能利用这种攻击方式来实施攻击。 在这种攻击中，攻击者可以将自己的HTML代码插入到网页中，而浏览器则无法检测到这些代码的存在。 通过攻击者的HTML代码，攻击者可以轻松访问数据库和相关的Cookie信息。 为了阻止这种类型的攻击，之前已经采用了X-XSS保护机制来应对了。

语法： 

X-XSS-Protection: directive

XSS攻击的类型：跨站脚本攻击大致可以分为两类。

• 服务器XSS攻击：在这种攻击方式中，黑客会将不可信的数据与HTML响应一起发送出去。在这种情况下，漏洞存在于服务器端，而浏览器则只是执行响应中包含的脚本而已。
• 客户端XSS攻击：在这种类型的 XSS 攻击中，会使用不安全的 JavaScript 来更新 DOM 中的数据。如果我们向 DOM 中添加带有 JavaScript 调用的代码，那么这种 JavaScript 调用就被称为“不安全的 JavaScript 调用”。

指示/指令：在这些头部信息中，共有四个指令/指示。

• 0:这会禁用 X-XSS-Protection 功能。
• 1:这是默认指令，它启用了X-XSS-Protection功能。
• 1; 模式=块模式它启用了X-XSS-Protection功能。如果浏览器检测到攻击行为，那么页面就不会被渲染出来。
• 1; 报告=<reporting-URI>:它启用了X-XSS-Protection功能。如果检测到跨站脚本攻击，那么该页面将会被处理，并且相关信息会通过report-uri指令进行报告。

示例1：当检测到跨站脚本攻击时，阻止相关页面的加载。

// It enable the protection X-XSS-Protection: 1; mode=block   // It disable the protection X-XSS-Protection: 0 

示例2：这种方法在 Apache 服务器上可以正常运行。

<如果模块存在的话 mod_headers.c>    Header set X-XSS-Protection "1; mode=block"  </如果模块存在的话> 

示例3：这种方法适用于 Nginx 服务器。

add_header "X-XSS-Protection" "1; mode=block"; 

支持的浏览器：支持的浏览器包括：HTTP头部信息：X-XSS-Protection如下所示：

• 谷歌浏览器
• Internet Explorer
• Safari
• 歌剧