tig*_*ger 5 javascript security xss antisamy content-security-policy
最近我研究了许多与XSS攻击有关的内容.我正在寻找XSS攻击的预防技术.
我遇到了一个名为Antisamy的图书馆,由OWASP建议.AntiSamy是一个用于Java的HTML,CSS和JavaScript过滤器,可根据策略文件清理用户输入.AntiSamy不是HTML,CSS和JavaScript验证器.它只是一种确保HTML,CSS和JavaScript输入严格遵循策略文件定义的规则的方法
我还读到了一个名为内容安全策略(CSP)的HTTP响应头.它允许您创建可信内容源的白名单,并指示浏览器仅从这些源执行或呈现资源.
那么我应该只使用Antisamy或CSP,还是使用两者都会有益?
先感谢您.
当谈到安全性时,只要您有时间,答案总是两者/全部/一切。
它们本身都是有益的。
我认为 CSP从长远来看更有利,但我有很大的偏见。
根据完全有效的评论进行编辑
并非所有用户代理都支持 CSP,而 anti-sammy 与用户代理无关。