最近我研究了很多與XSS攻擊有關的問題。我正在尋找XSS攻擊的預防技術。Antisamy或內容安全策略或兩者都可以阻止XSS攻擊
我遇到了一個名爲Antisamy的圖書館,由OWASP建議。 AntiSamy是一種用於Java的HTML,CSS和JavaScript過濾器,可根據策略文件清理用戶輸入。 AntiSamy不是HTML,CSS和JavaScript驗證程序。這只是確保HTML,CSS和JavaScript輸入嚴格遵循由策略文件定義的規則的一種方式。
此外,我還閱讀了有關稱爲內容安全策略(CSP)的HTTP響應標頭。它允許您創建受信任內容源的白名單,並指示瀏覽器僅執行或呈現來自這些源的資源。
所以我應該只使用Antisamy或CSP或同時使用兩者會有好處嗎?
預先感謝您。
如果你正在尋找最大的安全性和有時間,我說實施兩個。縱深防禦。 –