X-XSS-Protection
es un encabezado no estándar pero ampliamente utilizado que instruye a los navegadores para habilitar o deshabilitar su protección integrada contra los ataques XSS reflejados.
La mayoría de los sitios web que visito envían X-XSS-Protection:1; mode=block
o no tienen encabezado, lo que, en mi opinión, recae en el valor predeterminado del navegador. Por otro lado, Facebook envía X-XSS-Protection: 0
, algo que solo he visto en sitios web que demuestran el ataque XSS.
¿Cuál podría ser la razón de esto?