blob: 0cf075c0169fef562b9cbea7e579f38fe7751844 (
plain)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
|
---
title: X-XSS-Protection
slug: Web/HTTP/Headers/X-XSS-Protection
tags:
- HTTP
- Referencia
- Segurança
- XSS
- cabeçalho
translation_of: Web/HTTP/Headers/X-XSS-Protection
---
<div>{{HTTPSidebar}}</div>
<p>O cabeçalho de resposta HTTP <strong><code>X-XSS-Protection</code></strong> é uma funcionalidade do Internet Explorer, Chrome e Safari que impede páginas de carregarem quando eles detectam ataques de scripting entre sites ({{Glossary("XSS")}}) refletidos. Apesar destas proteções serem majoritariamente desnecessárias em navegadores modernos em sites utilizando uma forte {{HTTPHeader("Content-Security-Policy")}} que desabilita o uso de JavaScript <em>inline</em> (<code>'unsafe-inline'</code>), eles ainda podem oferecer proteções para usuários de navegadores mais antigos que ainda não suportam {{Glossary("CSP")}}.</p>
<div class="note">
<ul>
<li>Chrome <a href="https://www.chromestatus.com/feature/5021976655560704">removeu o XSS Auditor deles</a></li>
<li>Firefox não tem, e <a href="https://bugzilla.mozilla.org/show_bug.cgi?id=528661">não irá implementar <code>X-XSS-Protection</code></a></li>
<li>Edge <a href="https://blogs.windows.com/windowsexperience/2018/07/25/announcing-windows-10-insider-preview-build-17723-and-build-18204/">aposentou o filtro XSS deles</a></li>
</ul>
<p>Isso significa que se você não precisa dar suporte para navegadores legado, é recomendado que você use <code><a href="/en-US/docs/Web/HTTP/Headers/Content-Security-Policy">Content-Security-Policy</a></code> sem permitir scripts <code>unsafe-inline</code> ao invés disso.</p>
</div>
<table class="properties">
<tbody>
<tr>
<th scope="row">Tipo de cabeçalho</th>
<td>{{Glossary("Response header")}}</td>
</tr>
<tr>
<th scope="row">{{Glossary("Forbidden header name")}}</th>
<td>não</td>
</tr>
</tbody>
</table>
<h2 id="Sintaxe">Sintaxe</h2>
<pre class="syntaxbox notranslate">X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
</pre>
<dl>
<dt>0</dt>
<dd>Desabilita filtragem XSS.</dd>
<dt>1</dt>
<dd>Habilita filtragem XSS (geralmente padrão em navegadores). Se um ataque de scripting entre sites é detectado, o navegador irá higienizar a página (remover as partes inseguras).</dd>
<dt>1; mode=block</dt>
<dd>Habilita filtragem XSS. Ao invés de higienizar a página, o navegador irá impedir a renderização da página em que o ataque foi detectado.</dd>
<dt>1; report=<reporting-URI> (Chromium somente)</dt>
<dd>Habilita filtragem XSS. Se o ataque de scripting entre sites é detectado, o navegador irá higienizar a página e reportar a violação. Isso utiliza a funcionalidade da diretiva CSP {{CSP("report-uri")}} para enviar o relatório.</dd>
</dl>
<h2 id="Exemplos">Exemplos</h2>
<p>Bloqueia páginas de carregarem quando elas detectam ataques XSS refletidos:</p>
<pre class="brush: bash notranslate">X-XSS-Protection: 1; mode=block</pre>
<p>PHP</p>
<pre class="brush: php notranslate">header("X-XSS-Protection: 1; mode=block");</pre>
<p>Apache (.htaccess)</p>
<pre class="brush: bash notranslate"><IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
</IfModule></pre>
<p>Nginx</p>
<pre class="brush: bash notranslate">add_header "X-XSS-Protection" "1; mode=block";</pre>
<h2 id="Especificações">Especificações</h2>
<p>Não faz parte de nenhuma especificação ou rascunho.</p>
<h2 id="Compatibilidade_de_navegador">Compatibilidade de navegador</h2>
<p>{{Compat("http.headers.X-XSS-Protection")}}</p>
<h2 id="Veja_também">Veja também</h2>
<ul>
<li>{{HTTPHeader("Content-Security-Policy")}}</li>
<li><a href="https://blogs.msdn.microsoft.com/ieinternals/2011/01/31/controlling-the-xss-filter/">Controlando o XSS Filter (Controlling the XSS Filter) – Microsoft</a></li>
<li><a href="https://www.virtuesecurity.com/blog/understanding-xss-auditor/">Entendendo o XSS Auditor (Understanding XSS Auditor) – Virtue Security</a></li>
<li>
<p><a href="https://blog.innerht.ml/the-misunderstood-x-xss-protection/">O mal-entendido X-XSS-Protection (The misunderstood X-XSS-Protection) – blog.innerht.ml</a></p>
</li>
</ul>
|
