X-XSS-Protection ヘッダー(XSS Filter) の実装
IE8以降から、ブラウザ側でXSS対策をしてくれる機能がついているようです。
http://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_05.html
HTTPヘッダーに以下のヘッダーをつけると、ブラウザ側でXSSを検知した場合は、ブロックしてくれるみたいです。
X-XSS-Protection: 1; mode=block
↑こちらのサイトに動作確認用のページが紹介されていたのでチェックしたところ
検知されているようですね。
http://www.enhanceie.com/test/xss/
IE以外でもChrome、Safariでも対応しているみたいです。
FireFoxの場合は、「X-Content-Security-Policy」を使うといいのかな。
これ、ユーザ側で任意に指定できたら良いと思うんだけど、HTTPヘッダーとして実装しているのはなんでなんでしょうかね。
対応している大手サイトはGoogle、Twitter、Facebookあたりかな。
そういえば、wordpress.comのHTTPヘッダーを見ていたら、
X-hacker:If you're reading this, you should visit automattic.com/jobs and apply to join the fun, mention this header.
「もし、君がこれを見たのなら、automattic.com/jobsに訪れて、参加表明をして、このヘッダーのことをちょっと言ってくださいね。」
みたいなことが書かれてました。さり気なく社員募集していますねw。
もしかしたら他のサイトも似たことやっているかも。