X-XSS-Protection: |
Protection XSS |
|---|---|
| HTTP | Entêtes |
Syntaxe
| X-XSS-Protection: 0 |
| X-XSS-Protection: 1 |
| X-XSS-Protection: 1; mode=block |
| X-XSS-Protection: 1; report=reporting-uri |
Paramètres
| Nom | Description |
|---|---|
| 0 | Ce paramètre permet d'indiquer qu'il faut désactiver le filtre XSS. |
| 1 | Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS (généralement par défaut dans les navigateurs Web). Si une attaque de script intersite est détectée, le navigateur Web nettoie la page et supprime les parties dangereuses. |
| 1; mode=block | Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS mais plutôt que de nettoyer la page, le navigateur Web empêchera le rendu de la page si une attaque est détectée. |
| 1; report=reporting-URI | Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS et si une attaque de script intersite est détectée, le navigateur Web nettoie la page et signale la violation. Cette fonctionnalité est utilisé par la directive CSP report-uri pour envoyer un rapport. Ce paramètre est uniquement supporté par Chromium. |
Description
Ce champ d'entête permet d'indiquer qu'il faut empêcher le chargement des pages lorsqu'elles détectent des attaques de script intersite réfléchies (XSS) se produit. Uniquement utilisé par les navigateurs Web Internet Explorer, Chrome et Safari.
Exemple
L'exemple suivant permet de bloquer le chargement des pages lorsqu'elles détectent des attaques XSS réfléchies :
X-XSS-Protection: 1; mode=block
Dernière mise à jour : Vendredi, le 10 janvier 2020