He habilitado la protección XSS en el servidor usando nginx con el encabezado siguiente. Pero después de una larga búsqueda en Google Chrome, IE 10 & arriba y safari admite eso, pero Firefox no es compatible
add_header X-XSS-Protection: "1; mode = block";
Por ejemplo: cuando intento debajo de la url en IE, chrome y safari bloquea
https://xyz.com/test"><img src%3Dx onerror%3Dalert("xss")></
Pero Firefox ejecuta alerta. Por favor, ayúdame a arreglar para Mozilla FF.
Firefox no admite el encabezado X-XSS-Protection como se puede ver en esta tabla de compatibilidad .
Si desea una protección similar contra XSS reflejado como usuario de Firefox, puede usar el complemento de NoScript . Tiene una característica anti-XSS que puede advertirle de manera similar si identifica el código del script en la URL.
Solo debe ver el encabezado como una última línea de defensa que no reemplaza el escape de salida adecuado y el habitual medidas anti-XSS . Muchos sitios web como Facebook no habilitan el encabezado porque en ocasiones puede causar problemas de seguridad En sí.
En el lado del servidor también puede implementar un firewall de aplicaciones web que puede intentar bloquear los intentos de XSS. Pero su primera medida de seguridad debe ser una aplicación segura que filtre correctamente la salida en sí misma.