问题：如何处理缺少“X-XSS-Protection”头漏洞漏洞

漏洞描述

“X-XSS-Protection”头强制将跨站点脚本编制过滤器加入“启用”方式，即使用户已禁用时也是如此。该过滤器被构建到最新的 web 浏览器中（IE 8+，Chrome 4+），通常在缺省情况下已启用。虽然它并非设计为第一个选择而且仅能防御跨站点脚本编制，但它充当额外的保护层。

解决：在nginx配置上面加下面一段话即可

add_header X-XSS-Protection "1; mode=block";

IIS同理，在表头加上上面的配置