Nginx防止跨站脚本 Cross-site scripting (XSS)

nginx.conf中配置add_header X-XSS-Protection "1; mode=block";

        add_header X-Frame-Options SAMEORIGIN; # 只允许本站用 frame 来嵌套
        add_header X-Content-Type-Options nosniff; # 禁止嗅探文件类型
        add_header X-XSS-Protection "1; mode=block"; # XSS 保护

X-XSS-Protection 的字段有三个可选配置值

0： 表示关闭浏览器的XSS防护机制
1：删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置
1; mode=block：如果检测到恶意代码，在不渲染恶意代码

如果在你的业务场景中，你认为你的程序或系统是不会有XSS漏洞的， 或者是无法承担XSS filter/auditor 特性引发的BUG，那你就选择配置成前者；否则，你还是选择配置成后者吧。 反正，千万别配置成XSS-Protection: 1