Этот заголовок ответа может использоваться для настройки встроенной отражающей защиты XSS агента пользователя. В настоящее время этот заголовок поддерживают только Microsoft Internet Explorer, Google Chrome и Safari (WebKit).
В Internet Explorer 8 включена новая функция для предотвращения отраженных межсайтовых скриптовых атак, известная как XSS Filter . Этот фильтр работает по умолчанию в зонах безопасности «Интернет», «Доверенная» и «Ограниченная». Страницы зоны локальной интрасети могут подключиться к защите с использованием того же заголовка.
О заголовке, который вы разместили в своем вопросе,
Заголовок X-XSS-Protection: 1; mode=block включает XSS-фильтр. Вместо того, чтобы дезинфицировать страницу, при обнаружении атаки XSS браузер предотвращает рендеринг страницы.
В марте 2010 года мы добавили в IE8 поддержку нового токена в
Заголовок X-XSS-Protection, mode = block.
X-XSS-Protection: 1; mode=block
Когда этот токен присутствует, если потенциальная атака Отражения XSS
Обнаруженный, Internet Explorer предотвратит рендеринг страницы.
Вместо того, чтобы пытаться продезинфицировать страницу, чтобы хирургически удалить
XSS атака, IE будет отображать только «#».
Internet Explorer распознает возможную межсайтовую скриптовую атаку.
Он регистрирует событие и отображает соответствующее сообщение для пользователя.
Статья MSDN описывает, как работает этот заголовок.
Как работает этот фильтр в IE ,
Подробнее об этой статье, https://blogs.msdn.microsoft.com/ie/2008/07/02/ie8-security-part-iv-the-xss-filter/
Фильтр XSS работает как компонент IE8 с видимостью для всех
запросы / ответы, проходящие через браузер. Когда фильтр
обнаруживает вероятный XSS в межсайтовом запросе, идентифицирует и
нейтрализует атаку, если она повторяется в ответе сервера. пользователей
не представлены вопросы, на которые они не могут ответить - просто IE
блокирует выполнение вредоносного скрипта.
С новым XSS-фильтром пользователи IE8 Beta 2 сталкиваются с XSS типа 1
атака увидит уведомление, подобное следующему:
IE8 XSS-уведомление об атаке
Страница была изменена, и атака XSS заблокирована.
В этом случае XSS-фильтр обнаружил межсайтовый скриптинг
атака в URL. Он нейтрализовал эту атаку как
сценарий был воспроизведен обратно на страницу ответа. Таким образом,
фильтр эффективен без изменения начального запроса к серверу
или блокирование всего ответа.
Событие фильтра межсайтовых сценариев регистрируется, когда Windows Internet
Explorer 8 обнаруживает и смягчает атаку межсайтового скриптинга (XSS).
Межсайтовые скриптовые атаки происходят, когда один сайт, как правило,
злонамеренный, внедряет (добавляет) код JavaScript в иные законные
запросы на другой сайт. Исходный запрос обычно
невинный, такой как ссылка на другую страницу или общий интерфейс шлюза
(CGI) скрипт, предоставляющий общую услугу (такую как гостевая книга).
Внедренный скрипт обычно пытается получить доступ к привилегированной информации или
услуги, которые второй сайт не собирается предоставлять.
ответ или запрос обычно отражают результаты
вредоносный сайт. Фильтр XSS, новая функция для Internet Explorer
8, обнаруживает JavaScript в запросах URL и HTTP POST. Если JavaScript
Обнаружен, фильтр XSS ищет доказательства отражения, информацию
который будет возвращен на сайт атакующего, если атакующий
Запрос был представлен без изменений. Если отражение обнаружено, XSS
Фильтр очищает исходный запрос, чтобы дополнительный
JavaScript не может быть выполнен. Фильтр XSS затем регистрирует это действие как
событие межсайтового фильтра сценариев. На следующем рисунке показан пример
сайта, который был изменен для предотвращения атаки межсайтовых скриптов.
Источник: https://msdn.microsoft.com/en-us/library/dd565647(v=vs.85).aspx
Мыb Разработчики могут захотеть отключить фильтр для своего контента.Они могут сделать это, установив заголовок HTTP:
X-XSS-Protection: 0
Подробнее о заголовках безопасности в,