Question/Réponse

Les points de contrôle W16, T21 et D15 du formulaire de test d’intrusion du couloir Hôpital mentionnent que "(...) la configuration doit être complétée par d'autres entêtes, comme X-XSS-Protection ou X-Frame-Options pour la prise en charge de la CSP sur des navigateurs anciens". 
Toutefois, depuis le 4 juillet 2025, l’entête X-XSS-Protection a été déprécié suite à la découverte d’une vulnérabilité liée.

Dans le cadre du référencement Ségur, l'utilisation de l'entête X-XSS-Protection est tolérée et ne remet pas en cause la conformité au référentiel car la découverte de la vulnérabilité est postérieure à l'ouverture des guichets pour le couloir Hôpital.

Cela dit, nous recommandons vivement aux éditeurs qui continueraient à l'utiliser de suivre les dernières recommandations de l'OWASP à ce sujet :

The HTTP X-XSS-Protection response header is a feature of Internet Explorer, Chrome, and Safari that stops pages from loading when they detect reflected cross-site scripting (XSS) attacks.
WARNING: Even though this header can protect users of older web browsers that don't yet support CSP, in some cases, this header can create XSS vulnerabilities in otherwise safe websites source.
Recommendation
Use a Content Security Policy (CSP) that disables the use of inline JavaScript.
Do not set this header or explicitly turn it off.
X-XSS-Protection: 0
Please see Mozilla X-XSS-Protection for details.