非標準:
この機能は標準ではなく、標準化の予定もありません。公開されているウェブサイトには使用しないでください。ユーザーによっては使用できないことがあります。実装ごとに大きな差があることもあり、将来は振る舞いが変わるかもしれません。
- あまり使用はできなさそう
HTTP の X-XSS-Protection レスポンスヘッダーは
Internet Explorer, Chrome, Safariの機能で、反射型クロスサイトスクリプティング (XSS) 攻撃を検出したときに、ページの読み込みを停止するためのものです。サイトが強力なContent-Security-Policy を実装しており、インライン JavaScript ('unsafe-inline') の使用を無効にしている場合、これらの保護は現代のブラウザーではほとんど不要となります。
- X-XSS-Protection レスポンスヘッダーは Internet Explorer, Chrome, Safari の機能
- 反射型クロスサイトスクリプティング (XSS) 攻撃を検出したときに、ページの読み込みを停止する
- サイトが強力な Content-Security-Policy を実装且つインライン JavaScript ('unsafe-inline') の使用を無効にしている場合、これらの保護は現代のブラウザーではほとんど不要
警告: この機能は、まだ CSP に対応していない古いブラウザーのユーザーを保護できるにもかかわらず、場合によっては、他の安全なウェブサイトでXSS 保護機能が XSS の脆弱性を作り出す可能性があります。詳細については、下記の節を参照してください。
- 保護機能が逆に脆弱性を作り出す
- Content-Security-Policyとは?
- Chrome は XSS Auditor を削除しました。
- Firefox は対応しておらず、 X-XSS-Protection を今後も実装しません
- Edge は XSS filter を廃止しました。つまり、古いブラウザーに対応する必要がない場合は、代わりに Content-Security-Policy を使用し unsafe-inline を許可しないことをお勧めします。
0
XSS フィルタリングを無効化します。
ノート:X-XSS-Protectionヘッダーは、
最新のブラウザでは非推奨となっており、その使用によってクライアント側で追加のセキュリティの問題が発生する可能性があります。そのため、ヘッダーをX-XSS-Protection: 0に設定してXSS Auditorを無効にし、レスポンスを処理するブラウザのデフォルト動作を許可しないようにすることをお薦めします。かわりにContent-Security-Policyを使用します。「コンテンツ・セキュリティ・ポリシー」を参照してください。
感想
セキュリティがさらなる脆弱性を呼ぶので使うのは避けよう。