He habilitado la protección XSS en el servidor usando nginx con el encabezado siguiente. Pero después de una larga búsqueda en Google Chrome, IE 10 & arriba y safari admite eso, pero Firefox no es compatible
add_header X-XSS-Protection: "1; mode = block";
Por ejemplo: cuando intento debajo de la url en IE, chrome y safari bloquea
https://xyz.com/test"><img src%3Dx onerror%3Dalert("xss")></
Pero Firefox ejecuta alerta. Por favor, ayúdame a arreglar para Mozilla FF.