我想在我的应用程序中启用Spring Security XSS保护。
1)阅读文档和博客,https://spring.io/blog/2013/08/23/spring-security-3-2-0-rc1-highlights-security-headers/表示XSS默认存在
2)http://docs.spring.io/spring-security/site/docs/current/reference/html/headers.html表示默认不存在
3)如果我在扩展http.headers().xssProtection()的类中使用我的configure方法中的WebSecurityConfigurerAdapter:是否会禁用所有其他默认标头?
答案 0 :(得分:2)
在您专门包含以下代码以禁用默认值之前,不会禁用默认值。
http.headers().defaultsDisabled()
Reg 1和2,我的理解是博客和doc都有相同的信息。
X-XSS-Protection: 1; mode=block
默认情况下,通常启用过滤(过滤掉XSS攻击),因此添加标头 通常只是确保它已启用并指示浏览器要做什么 在检测到XSS攻击时执行。