Антисамия или политика безопасности контента или и то, и другое для предотвращения атаки XSS
Недавно я много изучал, связанный с XSS-атаками. Я искал методы предотвращения атаки XSS.
Я наткнулся на библиотеку под названием "Антисамия", предложенную OWASP. AntiSamy - это фильтр HTML, CSS и JavaScript для Java, который очищает пользовательский ввод на основе файла политики. AntiSamy не является валидатором HTML, CSS и JavaScript. Это просто способ убедиться, что ввод HTML, CSS и JavaScript строго следует правилам, определенным файлом политики
Также я прочитал о заголовке ответа HTTP, который называется Content Security Policy (CSP). Он позволяет вам создать белый список источников доверенного контента и дает указание браузеру выполнять или отображать ресурсы только из этих источников.
Так что я должен использовать только антисами или CSP или использование обоих будет полезно?
Заранее спасибо.
2 ответа
Когда дело доходит до безопасности, ответ всегда - оба / все / все, пока у вас есть время.
Они оба полезны сами по себе.
Я бы сказал, что CSP более выгоден в долгосрочной перспективе, но я очень предвзят.
РЕДАКТИРОВАТЬ на основе полностью действительного комментария
CSP поддерживается не всеми пользовательскими агентами, в то время как anti-sammy не зависит от пользовательских агентов.
В прошлом были обнаружены эксплойты для AntiSamy, и, вероятно, это произойдет в будущем, когда атаки XSS станут более умными (см. Это видео на mXSS).
Было бы целесообразно использовать оба. AntiSamy будет эффективен для браузеров, которые не поддерживают CSP. CSP будет эффективен для текущих и будущих поддерживаемых браузеров.