OWASP’ın üç senede bir yayınladığı zafiyetler listesinde yer alan XSS (Reflected) ‘e karşı önlem yöntemlerinden birinden daha bahsedeceğiz.
Cross Site Scripting (XSS) adlı yazımda XSS’in ne olduğundan bahsetmiştim. Kullanıcılarınızın (istemcilerin) sayfanızda olabilecek bir XSS zafiyetinden korumak için sunucu tarafından bazı header bilgileri isteğin cevabına eklenerek istemci tarafında bir koruma sağlanabilir. Bunlardan biri de X-XSS-Protection başlığı. Bu başlığın bize ne gibi bir faydasını olduğunu bir örnek üzerinden göstermeye çalışacağım.