5

最近我研究了很多与 XSS 攻击有关的东西。我正在寻找 XSS 攻击的预防技术。

我遇到了 OWASP 建议的名为 Antisamy 的库。AntiSamy 是一个用于 Java 的 HTML、CSS 和 JavaScript 过滤器,可根据策略文件清理用户输入。AntiSamy 不是 HTML、CSS 和 JavaScript 验证器。这只是一种确保 HTML、CSS 和 JavaScript 输入严格遵循策略文件定义的规则的方法

我还阅读了一个名为 Content Security Policy (CSP) 的 HTTP 响应标头。它允许您创建可信内容来源的白名单,并指示浏览器仅执行或呈现来自这些来源的资源。

那么我应该只使用 Antisamy 或 CSP 还是同时使用两者都会有益?

先感谢您。

4

2 回答 2

3

谈到安全性,只要您有时间,答案总是两者/全部/一切。

它们本身都是有益的。

我认为 CSP 从长远来看有益,但我有很大的偏见。

基于完全有效的评论进行编辑

并非所有用户代理都支持 CSP,而 anti-sammy 与用户代理无关。

于 2014-02-20T01:34:35.880 回答
1

过去曾发现过针对 AntiSamy 的漏洞利用,并且将来可能会随着 XSS 攻击变得更加聪明(查看mXSS 上的此视频)。

建议同时使用两者。AntiSamy 将对不支持 CSP 的浏览器有效。CSP 将对当前和未来支持的浏览器有效。

于 2014-02-21T09:30:50.330 回答