Я включил заголовок X-XSS-Protection в файле web.config:
<httpprotocol>
<customheaders>
<remove name="X-Powered-By" />
<add name="X-XSS-Protection" value="1; mode=block" />
</customheaders>
</httpprotocol>
Теперь заголовок X-XSS-Protection появляется в ответах для text / plain, application / json, text / xml или, например, в запросах изображений, но он не отображается в ответе основного текстового / HTML-документа. Однако кажется, что этот заголовок X-XSS-Protection нужен именно в текстовом / HTML-документе. У вас есть идея, почему это может происходить?
Это работало не так, как ожидалось, потому что я только что добавил настраиваемые заголовки на стороне сервера, а не на стороне клиента. Теперь я добавил их на стороне клиента, и заголовки выглядят так, как ожидалось.