Этот заголовок ответа может быть использован для настройки пользователем агента построен в отражательной защиты XSS. В настоящее время этот заголовок поддерживает только Microsoft Internet Explorer, Google Chrome и Safari (WebKit).
Internet Explorer 8 включены новые функции, чтобы помочь предотвратить отражение атак межсайтовых скриптов, известные как фильтр XSS. Этот фильтр работает по умолчанию в зонах безопасности Internet, Trusted и Restricted. Страницы зоны локальной интрасети могут выбирать защиту, используя тот же заголовок.
О заголовок, который вы публикуемую в вашем вопросе,
Заголовок X-XSS-Protection: 1; mode=block
позволяет XSS фильтр. Вместо того, чтобы дезинфицировать страницу, когда обнаружена атака XSS, браузер предотвратит отображение страницы.
В марте 2010 года мы добавили поддержку IE8 для нового маркера в заголовка X-XSS-Protection, режим = блок.
X-XSS-Protection: 1; mode=block
Когда этот маркер присутствует, если потенциальный XSS Отражение атаки обнаружен, Internet Explorer предотвратит рендеринг страницы. Вместо того, чтобы пытаться дезинфицировать страницу, чтобы хирургически удалить атаку XSS , IE будет отображать только «#».
Internet Explorer распознает возможную атаку межсайтового скриптинга. Он регистрирует событие и отображает соответствующее сообщение пользователю. В статье MSDN описано, как работает этот заголовок.
Как этот фильтр работает в IE,
Подробнее об этой статье, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/
XSS-фильтр работает как компонент IE8 с видимостью в все запросов/ответов, проходящих через браузер. Когда фильтр обнаруживает вероятный XSS в запросе кросс-сайта, он идентифицирует и атакует атаку, если она воспроизводится в ответе сервера. Пользователям не заданы вопросы, на которые они не могут ответить - IE просто блокирует выполнение вредоносного скрипта.
С новым XSS фильтр, IE8 Beta 2 пользователи встречая Type-1 XSS атака будет видеть уведомление вроде следующего: Уведомление
IE8 атаки XSS
страница была модифицирована и атака XSS блокируется.
В этом случае XSS Filter идентифицировал межсайтовый скриптинг в URL-адресе. Он нейтрализовал эту атаку, поскольку идентифицированный сценарий был повторно воспроизведен на странице ответа. Таким образом, фильтр эффективен без изменения первоначального запроса на сервер или блокирования всего ответа.
Событие фильтра межсайтовых сценариев регистрируется, когда Windows Internet Проводник 8 обнаруживает и уменьшает атаку межсайтового скриптинга (XSS). Атаки межсайтового скриптинга происходят, когда один веб-сайт, как правило, злонамерен, вводит (добавляет) код JavaScript в другой законный просит на другой сайт. Первоначальный запрос, как правило, невинно, например, ссылка на другую страницу или общий скрипт общего интерфейса шлюза (CGI), предоставляющий общую службу (например, гостевую книгу). Вложенный сценарий обычно пытается получить доступ к привилегированной информации или службам, которые второй веб-сайт не собирается разрешать. Ответ или запрос в целом отражают результаты обратно на вредоносный веб-сайт . Фильтр XSS, новая для Internet Explorer 8, обнаруживает JavaScript в URL-адресах и HTTP-запросах POST. Если обнаружен JavaScript , фильтр XSS ищет доказательства отражения, информацию , которая будет возвращена на атакующий веб-сайт, если бы атакующий запрос был оставлен без изменений.Если обнаружено отражение, фильтр XSS дезактивирует исходный запрос, так что нельзя выполнить дополнительный код . Фильтр XSS затем регистрирует это действие как событие Cross-Site Script Filter. На следующем рисунке показан пример сайта, который был изменен для предотвращения атаки межсайтового скриптинга.
Источник: https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx
Веб-разработчики могут захотеть отключить фильтр для их содержания. Они могут сделать это, установив HTTP заголовок:
X-XSS-Protection: 0
Подробнее о заголовках безопасности в,
FWIW, «правильное» место, чтобы посмотреть спецификации поля заголовка * не * HTTP-спецификация (в настоящее время RFC 2616), но поля заголовка реестр IANA (что, как говорится, это не перечисленное там) –
@JulianReschke, Почему это так? Должна ли спецификация HTTP быть авторитетной по HTTP? – Pacerier
Спецификация HTTP передает реестр заголовков в IANA. –