X-XSS-Protection

编辑
高级
- 历史记录
- 打印此文章

跳转到：

语法
范例
规范
浏览器兼容性
了解更多

HTTP X-XSS-Protection 响应头是Internet Explorer，Chrome和Safari的一个功能，当检测到跨站脚本攻击 (XSS)时，浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的，当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。

Header type	Response header
Forbidden header name	no

语法

X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>

0: 禁止XSS过滤。
1: 启用XSS过滤（通常浏览器是默认的）。如果检测到跨站脚本攻击，浏览器将清除页面（删除不安全的部分）。
1;mode=block: 启用XSS过滤。如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。
1; report=<reporting-URI> (Chromium only): 启用XSS过滤。如果检测到跨站脚本攻击，浏览器将清除页面并使用CSP report-uri指令的功能发送违规报告。

范例

当检测到XSS攻击时阻止页面加载：

X-XSS-Protection: 1;mode=block

PHP

header("X-XSS-Protection: 1; mode=block");

Apache (.htaccess)

<IfModule mod_headers.c> 
  Header set X-XSS-Protection "1; mode=block" 
</IfModule>

规范

不属于任何一个规范或草案的一部分。

浏览器兼容性

Update compatibility data on GitHub

	Desktop						Mobile
	Chrome	Edge	Firefox	Internet Explorer	Opera	Safari	Android webview	Chrome for Android	Firefox for Android	Opera for Android	Safari on iOS	Samsung Internet
`X-XSS-Protection` Non-standard	Chrome Full support Yes	Edge Full support Yes	Firefox No support No	IE Full support 8	Opera Full support Yes	Safari Full support Yes	WebView Android Full support Yes	Chrome Android Full support Yes	Firefox Android No support No	Opera Android Full support Yes	Safari iOS Full support Yes	Samsung Internet Android Full support Yes

Legend

Full support: Full support
No support: No support
Non-standard. Expect poor cross-browser support.: Non-standard. Expect poor cross-browser support.

了解更多

文档标签和贡献者

标签：

此页面的贡献者： mdnwebdocs-bot, yenshen, WayneCui, oopsguy, xgqfrms-GitHub

最后编辑者: mdnwebdocs-bot, Mar 23, 2019, 6:15:29 PM

X-XSS-Protection

语法

范例

规范

浏览器兼容性

Legend

了解更多

文档标签和贡献者

学习 Web 开发的最佳实践

谢谢！请检查您的收件箱以确认您的订阅。