©
本文檔使用php中文網手册發布
HTTPX-XSS-Protection
响应标头是 Internet Explorer, Chrome 和 Safari 的一项功能,可在检测到反射的跨站点脚本(XSS)攻击时阻止页面加载。尽管当现代浏览器实施强大的Content-Security-Policy
禁用内联 JavaScript('unsafe-inline'
)的强大功能时,这些保护在很大程度上是不必要的,但它们仍然可以为尚未支持 CSP 的旧版 Web 浏览器的用户提供保护。
Header type |
Response header |
---|---|
Forbidden header name |
no |
X-XSS-Protection: 0X-XSS-Protection: 1X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=
0Disables XSS filtering.1 启用 XSS 过滤(通常在浏览器中默认)。如果检测到跨站点脚本攻击,浏览器将清理页面(删除不安全的部分)。mode = blockEnables XSS 过滤。如果检测到攻击,浏览器将阻止页面的呈现,而不是消毒该页面。report = report-uri
指令的功能发送报告。
当检测到反射的XSS攻击时阻止加载页面:
X-XSS-Protection: 1; mode=block
PHP
header("X-XSS-Protection: 1; mode=block");
Apache (.htaccess)
Header set X-XSS-Protection "1; mode=block"
不属于任何规格或草案。
Feature |
Chrome |
Firefox |
Edge |
Internet Explorer |
Opera |
Safari |
---|---|---|---|---|---|---|
Basic Support |
(Yes) |
(No) |
(Yes) |
8.0 |
(Yes) |
(Yes) |
Feature |
Android |
Chrome for Android |
Edge mobile |
Firefox for Android |
IE mobile |
Opera Android |
iOS Safari |
---|---|---|---|---|---|---|---|
Basic Support |
(Yes) |
(Yes) |
(Yes) |
(No) |
? |
(Yes) |
(Yes) |