Antisamy或内容安全策略或两者都可以阻止XSS攻击

Question

最近我研究了很多与XSS攻击有关的问题。我正在寻找XSS攻击的预防技术。

我遇到了一个名为Antisamy的图书馆，由OWASP建议。 AntiSamy是一种用于Java的HTML，CSS和JavaScript过滤器，可根据策略文件清理用户输入。 AntiSamy不是HTML，CSS和JavaScript验证程序。这只是确保HTML，CSS和JavaScript输入严格遵循由策略文件定义的规则的一种方式。

此外，我还阅读了有关称为内容安全策略（CSP）的HTTP响应标头。它允许您创建受信任内容源的白名单，并指示浏览器仅执行或呈现来自这些源的资源。

所以我应该只使用Antisamy或CSP或同时使用两者会有好处吗？

预先感谢您。

Answer 1

说到安全性，只要你有时间，答案总是都是/所有/所有。

他们都有利于他们自己的权利。

我认为CSP是更多长期有益，但我很有偏见。基于完全有效的注释

CSP

EDIT没有被所有的用户代理的支持，而抗萨米是用户代理无关。

Answer 2

已经有exploits found to AntiSamy in the past并且未来可能会有XSS攻击变得更聪明（请查看video on mXSS）。

建议使用两者。对于不支持CSP的浏览器，AntiSamy将会有效。 CSP将对当前和未来有效supported browsers。