大規模サービスのセキュリティ対策用HTTPヘッダーまとめ - QiitaX-XSS-Protection ブラウザのXSSフィルターを有効化/無効化するためのヘッダー。 設定値は1; mode=blockとし、XSSフィルターを有効化かつXSS検出時にページのレンダリングを停止させるのが定石です(mode=blockを指定しない場合、ページをサニタイズした上でレンダリングが続行されます)。 Facebookは唯一XSSフィルターを無効化していますが、その分後述のContent-Secirity-Policyを厳密に定義しアプリケーション側の対策を十分に行なっているということだと思われます。 また、表ではスペースの都合上省略していますが、TwitterとNetflixではXSSが検出されたときにページの情報をサーバーに送信するオプションを指定しています。 X-Content-Type-Options ブラウザがファイルの中身からContentTypeを決める機能
