X-XSS-Protection (header)

Article publié, le et modifié le
1 minute(s) de lecture

Cet article contient 123 mots.
Source brute de l'article : MD

Définition

X-XSS-Protection est une technique de protection dont le but est de stopper le (télé)chargement de pages lorsque certaines attaques sont détectées.

C’est une entête HTTP dont le bénéfice est minimale, et aisée à mettre en place… et dont l’impact n’est pas négligeable.

Il n’existe qu’une seule option : 1; mode=block

Elle fait partie des entêtes de base à générer pour protéger son site web, au même titre que l’usage de HSTS, et des autres entêtes X-*-Options, telles que X-Content-Type-Options, X-Frame-Options

Documentations

Exemples

X-XSS-Protection: 1; mode=block

nginx

add_header X-Xss-Protection "1; mode=block" always;

relayd

Et, oui, malheureusement, httpd ne peut pas gérer les entêtes, ce sera son binôme relayd(8) que l’on utilisera !

match response header set "X-Xss-Protection" value "1; mode=block"