X-XSS-Protection
HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome
和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS (en-US))
时,浏览器将停止加载页面。若网站设置了良好的 Content-Security-Policy 来禁用内联
JavaScript ('unsafe-inline'),现代浏览器不太需要这些保护,但其仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。
| Header type | Response header |
|---|---|
| Forbidden header name | no |
语法
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri> Copy to Clipboard
0
禁止 XSS 过滤。
1
启用 XSS 过滤(通常浏览器是默认的)。如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
1;mode=block
启用 XSS 过滤。如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
1; report=<reporting-URI> (Chromium only)
启用 XSS 过滤。如果检测到跨站脚本攻击,浏览器将清除页面并使用 CSP report-uri (en-US)指令的功能发送违规报告。
范例
当检测到 XSS 攻击时阻止页面加载:
X-XSS-Protection: 1;mode=block
Copy to Clipboard
PHP
header("X-XSS-Protection: 1; mode=block");
Copy to Clipboard
Apache (.htaccess)
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule>
Copy to Clipboard
Nginx
add_header "X-XSS-Protection" "1; mode=block";
Copy to Clipboard
规范
不属于任何一个规范或草案的一部分。
浏览器兼容性
Report problems with this compatibility data on GitHub
| desktop | mobile | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Chrome | Edge | Firefox | Opera | Safari | Chrome Android | Firefox for Android | Opera Android | Safari on iOS | Samsung Internet | WebView Android | |
|
Non-standard |
4 – 77 Toggle history |
12 – 16 Toggle history |
No Toggle history |
No Toggle history |
Yes Toggle history |
No Toggle history |
No Toggle history |
No Toggle history |
Yes Toggle history |
No Toggle history |
No Toggle history |
Legend
Tip: you can click/tap on a cell for more information.
Full support
Full support
No support
No support
Non-standard. Check cross-browser support before using.