A recomendação desse cabeçalho é inválida em navegadores modernos. Na melhor da hipóteses está desatualizada e na pior é prejudicial. Sua origens são baseadas em bugs antigos do Internet Explorer (IE).

O melhor valor para X-XSS-Protection é 0 (desativando-o completamente como o Facebook e o Google fazem), ou não fornecer valor, ativar o CSP (Content-Security-Policy) com regras rígidas e apenas permitir que o navegador do cliente use o seu padrão por vários motivos:

1) Essa proteção já foi depreciada na maioria dos navegadores modernos (elas não utilizam mais), o Chrome já removeu [0], o Edge aposentou [1] e o Firefox nunca quis implementar [2].
2) A proteção XSS protege menos do que se poderia pensar. Em todos os navegadores implementados, ela sempre foi implementada como parte do analisador HTML, o que torna inútil contra ataques baseados em DOM (bem inferior ao CSP) [3].
3) Essa proteção pode ser usada para criar falhas de segurança (é isso mesmo). O padrão do IE é detectar XSS e tentar filtrá-lo, mas na verdade isso pode criar XSS em páginas seguras quando ativado em navegadores modernos [4].
4) O próprio bloqueio foi explorado no passado [5], e tem vazamentos onde até o Google considera muito difícil de capturar [6] a ponto de preferir remover completamente a ‘proteção’ XSS. O bloqueio tem uma óbvia exploração social que pode criar ataques ou torná-los mais sérios.

 

Referências:

[0] https://chromestatus.com/feature/5021976655560704
[1] https://blogs.windows.com/windows-insider/2018/07/25/announcing-windows-10-insider-preview-build-17723-and-build-18204/
[2] https://bugzilla.mozilla.org/show_bug.cgi?id=528661
[3] https://github.com/WebKit/webkit/blob/d70365e65de64b8f6eaf1ff5bf1a901765e47923/Source/WebCore/html/parser/XSSAuditor.cpp
[4] CVE-2014-6328, CVE-2015-6164, CVE-2016-3212
[5] https://portswigger.net/blog/abusing-chromes-xss-auditor-to-steal-tokens
[6] https://groups.google.com/a/chromium.org/g/blink-dev/c/TuYw-EZhO9g/m/blGViehIAwAJ

 

Artigo interessante em inglês para ler:
https://frederik-braun.com/xssauditor-bad.html