最近我研究了许多与XSS攻击相关的内容。我正在寻找XSS攻击的预防技术。
我遇到了一个名为Antisamy的图书馆,由OWASP建议。 AntiSamy是一个用于Java的HTML,CSS和JavaScript过滤器,可根据策略文件清理用户输入。 AntiSamy不是HTML,CSS和JavaScript验证器。它只是一种确保HTML,CSS和JavaScript输入严格遵循策略文件定义的规则的方法此外,我已阅读有关称为内容安全策略(CSP)的HTTP响应标头。它允许您创建可信内容源的白名单,并指示浏览器仅从这些源执行或呈现资源。
那么我应该只使用Antisamy或CSP还是使用两者都会有益?
提前谢谢。
答案 0 :(得分:3)
说到安全性,只要你有时间,答案就是/ all / everything。
它们本身都是有益的。
我认为CSP长期有益于,但我有很高的偏见。
基于完全有效的评论编辑
所有用户代理都不支持CSP,而反sammy是用户代理不可知的。
答案 1 :(得分:1)
已经有exploits found to AntiSamy in the past并且将来可能会出现XSS攻击变得更加敏感(请查看此video on mXSS)。
建议同时使用两者。 AntiSamy对不支持CSP的浏览器有效。 CSP将对当前和未来有效supported browsers。