Questa intestazione di risposta può essere utilizzata per configurare la protezione XSS riflettente integrata di un agente utente. Attualmente, solo Internet Explorer di Microsoft, Google Chrome e Safari (WebKit) supportano questa intestazione.
Internet Explorer 8 includeva una nuova funzionalità per aiutare a prevenire attacchi di scripting tra siti riflessi, noto come Filtro XSS . Questo filtro viene eseguito per impostazione predefinita nelle aree di sicurezza Internet, Affidabile e Limitato. Le pagine della zona Intranet locale possono attivare la protezione utilizzando la stessa intestazione.
Informazioni sull'intestazione che hai pubblicato nella tua domanda,
L'intestazione X-XSS-Protection: 1; mode=block
abilita il filtro XSS. Invece di disinfettare la pagina, quando viene rilevato un attacco XSS, il browser impedirà il rendering della pagina.
Nel marzo del 2010, abbiamo aggiunto al supporto IE8 per un nuovo token nell'intestazione X-XSS-Protection, mode = block.
X-XSS-Protection: 1; mode=block
Quando questo token è presente, se viene rilevato un potenziale attacco XSS Reflection, Internet Explorer impedirà il rendering della pagina. Invece di tentare di disinfettare la pagina per rimuovere chirurgicamente l'attacco XSS, IE visualizzerà solo "#".
Internet Explorer riconosce un possibile attacco di scripting tra siti. Registra l'evento e visualizza un messaggio appropriato per l'utente. L'articolo MSDN descrive come funziona questa intestazione.
Come funziona questo filtro in IE ,
Maggiori informazioni su questo articolo, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/
Il filtro XSS funziona come un componente IE8 con visibilità su tutte le richieste / risposte che fluiscono attraverso il browser. Quando il filtro rileva il probabile XSS in una richiesta tra siti, identifica e neuta l'attacco se viene riprodotto nella risposta del server. Agli utenti non vengono presentate domande a cui non sono in grado di rispondere - IE blocca semplicemente l'esecuzione dello script dannoso.
Con il nuovo filtro XSS, gli utenti di IE8 Beta 2 che incontrano un attacco XSS di tipo 1 vedranno una notifica come la seguente:
Notifica di attacco XSS IE8
La pagina è stata modificata e l'attacco XSS è bloccato.
In questo caso, il filtro XSS ha identificato un attacco di scripting tra siti nell'URL. Ha neutralizzato questo attacco quando lo script identificato è stato nuovamente riprodotto nella pagina di risposta. In questo modo, il filtro è efficace senza modificare una richiesta iniziale al server o bloccare un'intera risposta.
L'evento Filtro cross-site scripting viene registrato quando Windows Internet Explorer 8 rileva e mitiga un attacco di cross-site scripting (XSS). Gli attacchi di scripting tra siti si verificano quando un sito Web, generalmente dannoso, inietta (aggiunge) codice JavaScript in richieste altrimenti legittime a un altro sito Web. La richiesta originale è generalmente innocente, come un collegamento a un'altra pagina o uno script CGI (Common Gateway Interface) che fornisce un servizio comune (come un libro degli ospiti). Lo script iniettato generalmente tenta di accedere a informazioni o servizi privilegiati che il secondo sito Web non intende consentire. La risposta o la richiesta generalmente riflette i risultati sul sito Web dannoso. Il filtro XSS, una funzionalità nuova di Internet Explorer 8, rileva JavaScript nelle richieste URL e HTTP POST. Se viene rilevato JavaScript, il filtro XSS cerca prove di riflessione, informazioni che sarebbero restituite al sito Web attaccante se la richiesta di attacco fosse inviata invariata. Se viene rilevato il riflesso, il filtro XSS disinfetta la richiesta originale in modo tale che JavaScript aggiuntivo non possa essere eseguito. Il filtro XSS registra quindi tale azione come evento Filtro script tra siti. L'immagine seguente mostra un esempio di un sito che viene modificato per prevenire un attacco di scripting tra siti.
Fonte: https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx
Gli sviluppatori Web potrebbero voler disabilitare il filtro per il loro contenuto. Possono farlo impostando un'intestazione HTTP:
X-XSS-Protection: 0
Altro sulle intestazioni di sicurezza in,