---
title: X-XSS-Protection
slug: Web/HTTP/Headers/X-XSS-Protection
translation_of: Web/HTTP/Headers/X-XSS-Protection
---
<div>{{HTTPSidebar}}</div>

<p>HTTP X-XSS-Protection yanıt üstbilgisi, Internet Explorer'ın, Chrome'un ve Safari'nin, yansıyan bölgeler arası komut dosyalarını algıladıklarında sayfaların yüklenmesini durduran bir özelliğidir ({{Glossary("XSS")}})  Bu güvenlik önlemleri, modern tarayıcılarda siteler güçlü bir şekilde uygulandığında büyük oranda gerekli olmasa da{{HTTPHeader("Content-Security-Policy")}} satır içi JavaScript kullanımını devre dışı bırakan (<code>'unsafe-inline'</code>), henüz desteklemeyen eski web tarayıcılarının kullanıcıları için koruma sağlayabilirler {{Glossary("CSP")}}.</p>

<table class="properties">
 <tbody>
  <tr>
   <th scope="row">Başlık Tipi</th>
   <td>{{Glossary("Response header")}}</td>
  </tr>
  <tr>
   <th scope="row">{{Glossary("Yasak başlık adı")}}</th>
   <td>no</td>
  </tr>
 </tbody>
</table>

<h2 id="Sözdizimi">Sözdizimi</h2>

<pre class="syntaxbox">X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=&lt;reporting-uri&gt;
</pre>

<dl>
 <dt>0</dt>
 <dd>XSS filtrelemeyi devre dışı bırakır.</dd>
 <dt>1</dt>
 <dd>XSS filtrelemeyi etkinleştirir (genellikle tarayıcılarda varsayılan). Siteler arası komut dosyası çalıştırma saldırısı tespit edilirse, tarayıcı sayfayı sanitize eder (güvensiz kısımları kaldırır).</dd>
 <dt>1; mode=block</dt>
 <dd>XSS filtrelemesini etkinleştirir. Sayfa sızdırmaz hale getirmek yerine tarayıcı, bir saldırı tespit edilirse sayfanın görüntülenmesini engeller.</dd>
 <dt>1; report=&lt;reporting-URI&gt;  (Sadece Chromium)</dt>
 <dd>XSS filtrelemesini etkinleştirir. Siteler arası komut dosyası çalıştırma saldırısı tespit edilirse, tarayıcı sayfayı sanitize eder ve ihlali bildirir. Bu, CSP'nin işlevselliğini kullanır{{CSP("report-uri")}} bir rapor göndermek yönergesi.</dd>
</dl>

<h2 id="Örneğin">Örneğin</h2>

<p>Yansıyan XSS saldırılarını tespit ettiklerinde sayfaları yüklemeyi engelleyin:</p>

<pre class="brush: bash">X-XSS-Protection: 1; mode=block</pre>

<p>PHP</p>

<pre class="brush: php">header("X-XSS-Protection: 1; mode=block");</pre>

<p>Apache (.htaccess)</p>

<pre class="brush: bash">&lt;IfModule mod_headers.c&gt;
  Header set X-XSS-Protection "1; mode=block"
&lt;/IfModule&gt;</pre>

<h2 id="Özellikler">Özellikler</h2>

<p>Spesifikasyonların veya taslakların bir parçası değildir.</p>

<h2 id="Tarayıcı_uyumluluğu">Tarayıcı uyumluluğu</h2>

<p class="hidden">Bu sayfadaki uyumluluk tablosu yapılandırılmış verilerden oluşturulmuştur. Verilere katkıda bulunmak istiyorsanız, lütfen https://github.com/mdn/browser-compat-data adresini ziyaret edin ve bize bir çekme isteği gönderin.</p>

<p>{{Compat("http.headers.X-XSS-Protection")}}</p>

<h2 id="Bunlara_da_bakın">Bunlara da bakın</h2>

<ul>
 <li>{{HTTPHeader("Content-Security-Policy")}}</li>
 <li><a href="https://blogs.msdn.microsoft.com/ieinternals/2011/01/31/controlling-the-xss-filter/">Controlling the XSS Filter – Microsoft</a></li>
 <li><a href="https://www.virtuesecurity.com/blog/understanding-xss-auditor/">Understanding XSS Auditor – Virtue Security</a></li>
 <li>
  <p><a href="http://blog.innerht.ml/the-misunderstood-x-xss-protection/">The misunderstood X-XSS-Protection – blog.innerht.ml</a></p>
 </li>
</ul>