La cabecera X-XSS-Protection se utiliza para activar el filtro XSS que tienen habilitado IE y Chrome.

Se trata de una capa de seguridad adicional que bloquea ataques XSS. Internet Explorer lo implementa desde la versión 8.

Puedes leer más sobre el filtro XSS de IE en el IEBlog de Microsoft.

Puedes leer más información sobre esta cabecera en el blog IEInternals de MSDN.

La mejor forma de añadir esta cabecera sería añadiendo unas líneas de código al archivos functions.php del tema de WordPress que estemos usando. Este archivo se encuentra en la ruta wp-content/themes/NOMBRE_TEMA, en donde NOMBRE_TEMA es el nombre del tema que tenemos activado. En primer lugar, haremos una copia de seguridad del archivo functions.php. Después lo editamos y añadimos el siguiente código al final del mismo:

 

add_action( 'send_headers', 'add_header_xxssprotection' );
function add_header_xxssprotection() {
header( 'X-XSS-Protection: 1;mode=block' );
}

Este código genera la siguiente cabecera de respuesta:

X-XSS-Protection: 1; mode=block

Una alternativa para habilitar la cabecera en un servidor web Apache, sería añadiendo el siguiente código en el fichero .htaccess:

Header set X-XSS-Protection "1; mode=block"

Si queremos añadir otras cabeceras de seguridad a partir de cambios en el archivo functions.php, podemos hacerlo usando una única función, en lugar de añadir cada cabecera en una función distinta, aunque el funcionamiento sea similar. En el siguiente código de ejemplo, que habría que colocar al final del archivo functions.php, se añaden las cabeceras X-Content-Type-Options, X-Frame-Options y X-XSS-Protection:

add_action( 'send_headers', 'add_header_seguridad' );
function add_header_seguridad() {
header( 'X-Content-Type-Options: nosniff' );
header( 'X-Frame-Options: SAMEORIGIN' );
header( 'X-XSS-Protection: 1;mode=block' );
}

3/5 (1 Review)