X-XSS-Protection
è un'intestazione non standard ma ampiamente utilizzata che indica ai browser di abilitare o disabilitare la protezione incorporata dagli attacchi XSS riflessi.
La maggior parte dei siti web che visito inviano X-XSS-Protection:1; mode=block
o nessuna intestazione, il che, ritengo, ricade sul valore predefinito del browser. D'altra parte, Facebook invia X-XSS-Protection: 0
, qualcosa che ho visto solo nei siti web che dimostrano l'attacco XSS.
Quale potrebbe essere la ragione di questo?