X-XSS-Protection (header)

Article publié, le 16 Août 2017 et modifié le 12 Octobre 2018
Une minute de lecture

Cet article contient 125 mots.
Source brute de l'article :
Commit version : 7d84168

Définition

X-XSS-Protection est une technique de protection dont le but est de stopper le (télé)chargement de pages lorsque certaines attaques sont détectées.

C’est une entête HTTP dont le bénéfice est minimale, et aisée à mettre en place… et dont l’impact n’est pas négligeable.

Il n’existe qu’une seule option : 1; mode=block

Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS , et des autres entêtes X-*-Options, telles que X-Content-Type-Options , X-Frame-Options …

Exemples

X-XSS-Protection: 1; mode=block

nginx

add_header X-Xss-Protection "1; mode=block" always;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "X-Xss-Protection" value "1; mode=block"

Documentations

Cross-site_scripting ^WP