X-XSS-Protection

browserのXSS Filterを有効にする

Reflected XSSを検知した場合にページの読み込みを停止する

古いBrowserをサポートする必要がないのなら、unsafe-inlineを使ったほうがいい

CSPの一部機能の前身みたいな感じなのかなmrsekut.icon

XSS Filterを無効にする

XSSを検知したら、該当部分を取り除く

XSSを検知したら、renderingを停止する

参考

Helmetでの議論

default値をどれにするか問題がある

0にすると、無効になるので、普通にXSS攻撃を受け得る

1にすると、XSS Filterするが、XS-Leaksの攻撃を受け得る

最終的には、BrowserのXSS Filterの実装にバグがあるから、X-XSS-Protection: 0にしようぜという感じになっている