Der HTTP-Header X-XSS-Protection definiert wie in Browsern eingebaute XSS-Filter konfiguriert werden. Eine Default-Installation kann eine unzureichende Konfiguration offenbaren.