El encabezado HTTP X-XSS-Protection se utiliza para evitar XSS.
¿Ese encabezado está directamente relacionado con el filtro anti-XSS en el navegador?
Durante una misión, encontré que Chrome & IE bloqueó un ataque XSS pero no había ningún encabezado HTTP o CSP de protección X-XSS.
¿Es este un comportamiento normal?
¿Ese encabezado está directamente relacionado con el filtro anti-XSS en el navegador?
Sí.
La idea es que un valor de 0 deshabilita el filtro y 1 habilita el filtro. Una directiva de modo adicional puede, y debe, usarse para bloquear completamente la representación de una página si se detecta un ataque.
En la práctica, no todos los navegadores implementan el encabezado de esa manera. Chrome, por ejemplo, no permite habilitar el filtro.
¿Es [el bloqueo sin el encabezado] un comportamiento normal?
Sí, las versiones actuales de Chrome e IE habilitan el filtro de forma predeterminada.
Sí, es lo mismo. En general, sin embargo, el valor predeterminado del navegador es "on", el equivalente a X-XSS-Protection: 1 , por lo que no incluirlo no hace ninguna diferencia.
Puede usarlo para deshabilitar las protecciones basadas en el navegador en algunos casos. Esto puede ser útil si desea que las cargas útiles de tipo XSS se envíen al servidor por algún motivo. Ejemplos de esto podrían incluir páginas de administración que permiten agregar contenido de JavaScript, sitios que se utilizan para ejercicios de capacitación XSS o desarrolladores que han utilizado técnicas que están bloqueadas por las protecciones del navegador y no desean volver a escribir el código. p>
Lea otras preguntas en las etiquetas xss