Nagłówek odpowiedzi HTTP X-XSS-Protection to funkcja przeglądarek Internet Explorer, Chrome i Safari, która zatrzymuje ładowanie stron po wykryciu ataków z użyciem odwróconych skryptów krzyżowych (XSS). Chociaż te zabezpieczenia są w większości niepotrzebne w nowoczesnych przeglądarkach, gdy witryny stosują silne zabezpieczenia treści.
Zasada, która wyłącza korzystanie ze wbudowanego kodu JavaScript („niebezpiecznego w treści”), nadal może zapewniać ochronę użytkownikom starszych przeglądarek internetowych, które jeszcze nie obsługują CSP.

Więcej informacji:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options