mode=block: expected semicolon at character position 14. The default protections will be applied..

Die Meldung kam mir im Zusammenhang mit den Einstellungen des Plugins ShieldSecurity unter, allerdings nur in Opera und Chrome. Ursache war die Einstellung Employ Built-In Browser XSS Protection unter HTTP Headers, Security Headers, Advanced Security Headers.

Nicht immer sind auftretende Fehler offensichtlich und für den Anwender spürbar. Fehler wie dieser sind nur erkennbar, wenn man die Console seines Browsers öffnet, um eine Website genauer zu untersuchen. Dort sieht man ob alle Ressourcen korrekt geladen und eingebunden sind, und welche blockiert werden oder Fehler erzeugen. Opera blockiert standardmäßig Tracking, daher sieht man dort am meisten Meldungen. In diesem Fall ist es dann kein Fehler auf der Website, sondern zum Schutz der Privatsphäre so gewollt.

Im Fall der XSS-Protection half es, die Einstellung im Plugin zu deaktivieren, und die Maßnahme stattdessen direkt in der .htaccess vorzunehmen (die Anführungszeichen waren erforderlich, um keinen Fehler mehr zu erzeugen, in Beispielen fehlen diese oft):

<IfModule mod_headers.c>
	Header set X-XSS-Protection "1; mode=block"
</IfModule>

Unbedingt vorher ein Backup machen und anschließend prüfen, wie bei jeder Modifikation der .htaccess, da hier geringste Fehler in der Syntax genügen, um die Zugänglichkeit einer Website komplett zu sperren.

Der konsequente Einsatz von Input-Sanitizing und Output-Escaping bietet unter anderem auch Schutz vor XSS-Attacken, jedoch kann man sich nicht darauf verlassen, dass sie in jedem Theme oder Plugin auch tatsächlich angewendet wurden.