Section courante

A propos

Section administrative du site

X-XSS-Protection:

Protection XSS
HTTP Entêtes

Syntaxe

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=reporting-uri

Paramètres

Nom Description
0 Ce paramètre permet d'indiquer qu'il faut désactiver le filtre XSS.
1 Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS (généralement par défaut dans les navigateurs Web). Si une attaque de script intersite est détectée, le navigateur Web nettoie la page et supprime les parties dangereuses.
1; mode=block Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS mais plutôt que de nettoyer la page, le navigateur Web empêchera le rendu de la page si une attaque est détectée.
1; report=reporting-URI Ce paramètre permet d'indiquer qu'il faut activer le filtrage XSS et si une attaque de script intersite est détectée, le navigateur Web nettoie la page et signale la violation. Cette fonctionnalité est utilisé par la directive CSP report-uri pour envoyer un rapport. Ce paramètre est uniquement supporté par Chromium.

Description

Ce champ d'entête permet d'indiquer qu'il faut empêcher le chargement des pages lorsqu'elles détectent des attaques de script intersite réfléchies (XSS) se produit. Uniquement utilisé par les navigateurs Web Internet Explorer, Chrome et Safari.

Exemple

L'exemple suivant permet de bloquer le chargement des pages lorsqu'elles détectent des attaques XSS réfléchies :

X-XSS-Protection: 1; mode=block

Dernière mise à jour : Vendredi, le 10 janvier 2020