X-XSS-Protection是浏览器内置的一种 XSS 防范措施。这是 HTTP 的一个响应头字段,要开启很简单,在服务器的响应报文里加上这个字段即可。
浏览器接收到这个字段,则会启用对应的 XSS 防范模块,这个模块只能检测反射型的 XSS。在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换)。
X-XSS-Protection的四种语法解释:
(1)X-XSS-Protection : 0
表示禁用 XSS 过滤这个功能。
(2)X-XSS-Protection : 1
表示启用 XSS 过滤,一般浏览器中都是默认开启。如果检测到跨站脚本攻击,浏览器将清除在页面上检测到的不安全的部分。
(3)X-XSS-Protection : 1;mode=block
表示启用XSS过滤器。如果检测到攻击,浏览器不会像上面的选项一样将不安全的部分删除,而是直接阻止整个页面的加载。
(4)X-XSS-Protection : 1;report=
表示启用 XSS 过滤。如果检测到跨站脚本攻击,浏览器会清除在页面上检测到的不安全的部分,并使用report-uri的功能 POST 一个 XSS 警报。这个功能只有在 Chrome 中有效果,在 IE 中无效。
虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器用户提供保护。
您已成功复制微信号
leishi010
打开微信添加好友?
确定
