Der HTTP X-XSS-Protection Response Header ist eine Funktion von Internet Explorer, Chrome und Safari, die das Laden von Seiten verhindert, wenn sie XSS-Angriffe (Reflected Cross-Site Scripting) erkennen. Diese Schutzmaßnahmen sind in modernen Browsern weitgehend unnötig, wenn Websites eine starke Inhaltssicherheitsrichtlinie implementieren, die die Verwendung von Inline-JavaScript („unsafe-inline“) deaktiviert.