Ho abilitato la protezione XSS nel server usando nginx con l'intestazione di sotto. Ma dopo una lunga ricerca su google chrome, IE 10 & sopra e Safari supporta questo, ma Firefox non supporta
add_header X-XSS-Protection: "1; mode=block";
Ad esempio: quando provo sotto url in IE, chrome e safari si blocca
https://xyz.com/test"><img src%3Dx onerror%3Dalert("xss")></
Ma Firefox esegue l'avviso. Per favore aiutami a riparare per Mozilla FF.
Firefox non supporta l'intestazione X-XSS-Protection come puoi vedere in questa tabella di compatibilità .
Se desideri una protezione simile contro XSS riflesso come utente di Firefox, puoi utilizzare l' componente aggiuntivo di NoScript . Ha una funzione anti-XSS che può avvisare in modo simile se identifica il codice dello script nell'URL.
Dovresti vedere l'intestazione solo come ultima linea di difesa che non sostituisce l'uscita corretta dell'output e il solito misure anti-XSS . Molti siti Web come Facebook non abilitano l'intestazione perché occasionalmente causano problemi di sicurezza stesso.
Sul lato server è anche possibile implementare un firewall per applicazioni Web che potrebbe tentare di bloccare i tentativi XSS. Ma la tua prima misura di sicurezza dovrebbe essere un'applicazione sicura che filtri correttamente l'output stesso.