X-XSS-Protection fue un encabezado de seguridad que ha existido desde la versión 4 de Google Chrome. Fue diseñado para permitir que una herramienta verifique el contenido del sitio web en busca de scripts reflejados entre sitios. Todos los principales navegadores ahora han eliminado la compatibilidad con el encabezado, ya que terminó introduciendo agujeros de seguridad. Se recomienda encarecidamente que no establezca el encabezado en absoluto y configure una política de seguridad de contenido sólida en su lugar.
Sugerencia: Cross-Site Scripting generalmente se abrevia con el acrónimo «XSS».
Los scripts reflejados entre sitios son una clase de vulnerabilidad XSS en la que el exploit se codifica directamente en la URL y solo afecta al usuario que visita la URL. El XSS reflejado es un riesgo cuando la página web muestra datos de la URL. Por ejemplo, si una tienda en línea le permite buscar productos, es posible que tenga una URL similar a esta «website.com/search?term=gift» e incluya la palabra «regalo» en la página. El problema comienza si alguien coloca JavaScript en la URL, si no se limpia correctamente, ese JavaScript podría ejecutarse en lugar de imprimirse en la pantalla como debería. Si un atacante pudiera engañar a un usuario para que haga clic en un enlace con este tipo de carga útil XSS, es posible que pueda hacer cosas como tomar el control de su sesión.
X-XSS-Protection fue diseñado para detectar y prevenir este tipo de ataque. Desafortunadamente, con el tiempo se han descubierto varias soluciones e incluso vulnerabilidades en el funcionamiento del sistema. Estas vulnerabilidades significaron que la implementación del encabezado X-XSS-Protection introduciría una vulnerabilidad de secuencias de comandos entre sitios en un sitio web que de otro modo sería seguro.
Para protegerse contra esto, sabiendo que el encabezado de la política de seguridad de contenido, generalmente abreviado como «CSP», incluye una función para reemplazarlo, los desarrolladores de navegadores han decidido eliminar la función. La mayoría de los navegadores, incluidos Chrome, Opera y Edge, han eliminado el soporte o, en el caso de Firefox, nunca lo implementaron. Se recomienda que los sitios web apaguen el encabezado para proteger a los usuarios que aún usan navegadores heredados con la función habilitada.
X-XSS-Protection puede ser anulado por el parámetro «inseguro en línea» en el encabezado CSP. Poder habilitar esta configuración puede suponer mucho trabajo dependiendo del sitio web, ya que significa que todo JavaScript debe estar en scripts externos y no se puede incluir directamente en HTML.