Вы также можете установить некоторые заголовки ответов HTTP, связанные с XSS, через header(...)
X-XSS-Protection «1; mode = block»
, убедитесь, что режим защиты браузера XSS включен.
Content-Security-Policy "default-src 'self'; ..."
для обеспечения безопасности на стороне браузера. См. Этот раздел для сведений о политике безопасности контента (CSP): http://content-security-policy.com/ . Особенно рекомендуется настроить CSP для блокировки встроенных скриптов и внешних источников сценариев, что полезно для XSS.
для общей группы полезных заголовков HTTP-ответов, касающихся безопасности вашего webapp, посмотрите на OWASP: https://www.owasp.org/index.php/List_of_useful_HTTP_headers