那些遇到过的问题

Spring security中的Xss防护默认开启吗?

Shi*_*lin 5 xss spring-security

我想在我的应用程序中启用 Spring Security XSS 保护。

1)阅读文档和博客,https://spring.io/blog/2013/08/23/spring-security-3-2-0-rc1-highlights-security-headers/表示默认存在XSS

2)并且http://docs.spring.io/spring-security/site/docs/current/reference/html/headers.html表示默认情况下它不存在

3)如果我http.headers().xssProtection()在类中的配置方法中使用扩展WebSecurityConfigurerAdapter:是否会禁用所有其他默认标头?

not*_*est 4

除非您专门包含以下代码来禁用默认值,否则默认值不会被禁用。

http.headers().defaultsDisabled()
Run Code Online (Sandbox Code Playgroud)

注册点1和2,我的理解是博客和文档都有相同的信息。

X-XSS-Protection: 1; mode=block
Run Code Online (Sandbox Code Playgroud)

过滤(过滤掉 XSS 攻击)通常是默认启用的,因此添加标头通常只是确保其启用,并指示浏览器在检测到 XSS 攻击时该怎么做。

归档时间:

查看次数:

19640 次

最近记录:

2 年,11 月 前
相关归档
获得异常:没有定义名为'springSecurityFilterChain'的bean 46
自定义SpringSecurity OAuth 2错误输出(未授权) 15
以下javascript是否可以安全地执行任意代码? 9
Java:从HTML中删除Javascript的最佳方法 8
Spring Security LDAP 身份验证并从本地数据库收集用户详细信息 6
Grails Spring Security 最大并发会话数 4
如何将所有memberOf属性分配给LDAP中的特定用户 3
Spring Security在基本身份验证后抛出403 3
此用户表单的潜在安全问题 1
如何执行基本的 Spring Boot 应用程序安全性 1
难疑归档
Python有三元条件运算符吗? 5591
如何检查文件是否存在而没有例外? 5290
如何确定最初克隆本地Git存储库的URL? 3782
为什么Java的+ =, - =,*=,/ =复合赋值运算符需要转换? 3547
如何将某些内容附加到数组中? 2895
如何用JavaScript更改元素的类? 2650
如何制作一个很好的R可重复的例子 2474
确定对象的类型? 1700
如何垂直对齐div内的图像? 1371
如何在同一分支上的两个不同提交之间区分相同的文件? 1077