Antisamy或內容安全策略或兩者都可以阻止XSS攻擊

Question

最近我研究了很多與XSS攻擊有關的問題。我正在尋找XSS攻擊的預防技術。

我遇到了一個名爲Antisamy的圖書館，由OWASP建議。 AntiSamy是一種用於Java的HTML，CSS和JavaScript過濾器，可根據策略文件清理用戶輸入。 AntiSamy不是HTML，CSS和JavaScript驗證程序。這只是確保HTML，CSS和JavaScript輸入嚴格遵循由策略文件定義的規則的一種方式。

此外，我還閱讀了有關稱爲內容安全策略（CSP）的HTTP響應標頭。它允許您創建受信任內容源的白名單，並指示瀏覽器僅執行或呈現來自這些源的資源。

所以我應該只使用Antisamy或CSP或同時使用兩者會有好處嗎？

預先感謝您。

Answer 1

說到安全性，只要你有時間，答案總是都是/所有/所有。

他們都有利於他們自己的權利。

我認爲CSP是更多長期有益，但我很有偏見。基於完全有效的註釋

CSP

EDIT沒有被所有的用戶代理的支持，而抗薩米是用戶代理無關。

Answer 2

已經有exploits found to AntiSamy in the past並且未來可能會有XSS攻擊變得更聰明（請查看video on mXSS）。

建議使用兩者。對於不支持CSP的瀏覽器，AntiSamy將會有效。 CSP將對當前和未來有效supported browsers。