Антисамия или политика безопасности контента или и то, и другое для предотвращения атаки XSS

Недавно я много изучал, связанный с XSS-атаками. Я искал методы предотвращения атаки XSS.

Я наткнулся на библиотеку под названием "Антисамия", предложенную OWASP. AntiSamy - это фильтр HTML, CSS и JavaScript для Java, который очищает пользовательский ввод на основе файла политики. AntiSamy не является валидатором HTML, CSS и JavaScript. Это просто способ убедиться, что ввод HTML, CSS и JavaScript строго следует правилам, определенным файлом политики

Также я прочитал о заголовке ответа HTTP, который называется Content Security Policy (CSP). Он позволяет вам создать белый список источников доверенного контента и дает указание браузеру выполнять или отображать ресурсы только из этих источников.

Так что я должен использовать только антисами или CSP или использование обоих будет полезно?

Заранее спасибо.

2 ответа

Решение

Когда дело доходит до безопасности, ответ всегда - оба / все / все, пока у вас есть время.

Они оба полезны сами по себе.

Я бы сказал, что CSP более выгоден в долгосрочной перспективе, но я очень предвзят.

РЕДАКТИРОВАТЬ на основе полностью действительного комментария

CSP поддерживается не всеми пользовательскими агентами, в то время как anti-sammy не зависит от пользовательских агентов.

В прошлом были обнаружены эксплойты для AntiSamy, и, вероятно, это произойдет в будущем, когда атаки XSS станут более умными (см. Это видео на mXSS).

Было бы целесообразно использовать оба. AntiSamy будет эффективен для браузеров, которые не поддерживают CSP. CSP будет эффективен для текущих и будущих поддерживаемых браузеров.

Другие вопросы по тегам