Skip to content

[security] X-XSS-Protection

Published: at 07:54 AM (2 min read)

X-XSS-Protection 是一個在早期瀏覽器並不支援 CSP 時,IE 所開發出預防 XSS 攻擊的 header,後來 chrome 與 sarfari 等瀏覽器也開始支援。(不過目前瀏覽器幾乎都支援 CSP 1.0 了,根本上還是設定 CSP (Content-Seciruty-Policy) 較安全。

畢竟這個 header 偵測 XSS 攻擊有一套過濾的方法 (IE 預設開啟),僅有限程度的防範,並不完全可以防止 XSS。

目前支援度為下圖,有部分瀏覽器(如:firefox)並不支援。


這邊簡單介紹用法,通常我們會在支援早期(如:ie8)瀏覽器時設置,其餘則設定 CSP 會更有效的防止 XSS

ps. 我自己測試後,也不太知道過濾的方法如何判斷為 XSS 的基準(可參考微軟的文章) ,感覺不是很嚴謹…我還是建議盡量使用 CSP 來規範外部資源載入)

參考資料:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection

https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/

http://likewaylai.blogspot.tw/2012/03/javax-xss-protection.html