---
title: "X-XSS-Protection (header)"
date: 2017-08-16T13:39:25+01:00
description: "Explications sur l'entête HTTP nommée X-XSS-Protection"
draft: false
lastmod: 2018-10-12T02:50:25+01:00
tags: ["HTTP", "header", "X Options"]
---

## Définition

**X-XSS-Protection** est une technique de protection dont le but
        est de stopper le (télé)chargement de pages lorsque certaines
        attaques sont détectées.

C'est une entête HTTP dont le bénéfice est minimale, et aisée à mettre
en place… et dont l'impact n'est pas négligeable.

Il n'existe qu'une seule option : `1; mode=block`

Elle fait partie des entêtes de base à générer pour protéger son site
web, au même titre que l'usage de {{< inside "web:ssl:hsts" HSTS >}}, et
des autres entêtes X-*-Options, telles que
{{< inside "web:http:x-content-type-options" "X-Content-Type-Options" >}},
{{< inside "web:http:x-frame-options" "X-Frame-Options" >}}…

## Exemples

`X-XSS-Protection: 1; mode=block`

### nginx

`add_header X-Xss-Protection "1; mode=block" always;`

### relayd

Et, oui, malheureusement, {{< tag httpd >}} ne peut pas gérer les entêtes, ce sera
son binôme {{< man relayd 8 >}} que l'on utilisera !

`match response header set "X-Xss-Protection" value "1; mode=block"`

## Documentations

* {{< wp Cross-site_scripting >}}

---