Spring security 中的 Xss 保护是否默认启用?

【问题标题】:Is Xss protection in Spring security enabled by default?Spring security 中的 Xss 保护是否默认启用?
【发布时间】:2016-06-03 04:56:03
【问题描述】:

我想在我的应用程序中启用 Spring Security XSS 保护。

1) 阅读文档和博客,https://spring.io/blog/2013/08/23/spring-security-3-2-0-rc1-highlights-security-headers/ 表示默认存在 XSS

2) 而http://docs.spring.io/spring-security/site/docs/current/reference/html/headers.html 表示默认不存在

3) 如果我在扩展WebSecurityConfigurerAdapter 的类中的配置方法中使用http.headers().xssProtection():这会禁用所有其他默认标头吗?

【问题讨论】:

    标签: spring-security xss


    【解决方案1】:

    除非您特别包含以下代码以禁用默认设置,否则默认设置不会被禁用。

    http.headers().defaultsDisabled()

    注册点1和2,我的理解是blog和doc都有相同的信息。

    X-XSS-Protection: 1; mode=block

    过滤(过滤掉 XSS 攻击)通常默认启用,因此添加标头 通常只是确保它已启用并指示浏览器要做什么 当检测到 XSS 攻击时执行。

    【讨论】:

      猜你喜欢
      • 2012-08-17
      • 1970-01-01
      • 2021-02-06
      • 2011-04-21
      • 2016-01-12
      • 1970-01-01
      • 2014-07-29
      • 2016-09-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode