最近我研究了很多与XSS攻击有关的问题。我正在寻找XSS攻击的预防技术。Antisamy或内容安全策略或两者都可以阻止XSS攻击
我遇到了一个名为Antisamy的图书馆,由OWASP建议。 AntiSamy是一种用于Java的HTML,CSS和JavaScript过滤器,可根据策略文件清理用户输入。 AntiSamy不是HTML,CSS和JavaScript验证程序。这只是确保HTML,CSS和JavaScript输入严格遵循由策略文件定义的规则的一种方式。
此外,我还阅读了有关称为内容安全策略(CSP)的HTTP响应标头。它允许您创建受信任内容源的白名单,并指示浏览器仅执行或呈现来自这些源的资源。
所以我应该只使用Antisamy或CSP或同时使用两者会有好处吗?
预先感谢您。
如果你正在寻找最大的安全性和有时间,我说实施两个。纵深防御。 –