هجمات Cross-Site Scripting (XSS) تستهدف متصفح المستخدم وليس الخادم مباشرة. لكن البروكسي يمكنه حماية المستخدمين عن طريق فرض سياسات أمان صارمة على جميع الردود الصادرة من الخادم.
حقن ترويسات الأمان (Security Headers)
أقوى سلاح ضد XSS هو ترويسة Content-Security-Policy (CSP).
يمكن للبروكسي إضافة هذه الترويسة تلقائياً لكل رد، مخبراً المتصفح: "لا تقم بتشغيل أي سكريبت إلا إذا كان من نطاق موقعنا فقط".
هذا يمنع المهاجم من تشغيل أكواد JavaScript خارجية حتى لو وجد ثغرة في الموقع.
تعقيم الردود (Output Sanitization)
بعض البروكسيات المتقدمة تقوم بفحص محتوى الرد (HTML Response) بحثاً عن أكواد مشبوهة وتشفيرها (Encoding) قبل إرسالها للمستخدم، رغم أن هذه الطريقة مكلفة من حيث الأداء مقارنة باستخدام CSP.
تفعيل X-XSS-Protection
رغم أن المتصفحات الحديثة بدأت تتخلى عنه لصالح CSP، إلا أن البروكسي يمكنه تفعيل هذا الخيار للمتصفحات القديمة كطبقة حماية إضافية.