是否可以在 Spring 安全性中仅实施 XSS 预防并保持其他一切开放?
Is it possible to implement only XSS prevention in Spring security and leave everything else open?
我正在从事一个项目,其中 OAuth2 实施尚未整合,但我被要求调查平台上的 XSS 预防。由于安全问题是一个已知漏洞,是否可以 Spring 安全措施来防止 XSS 仅 并禁用任何形式的授权和身份验证?
是的,尽管您可能仍然需要一些东西,例如 Spring 安全应用程序防火墙。
默认情况下,HttpSecurity会添加http基础、表单登录、CSRF保护和各种安全header,但这些都可以配置。以下仅保留 X-XSS-Protection header:
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) {
http
.csrf().disable()
.headers()
.defaultsDisabled()
.xssProtection()
}
}
我正在从事一个项目,其中 OAuth2 实施尚未整合,但我被要求调查平台上的 XSS 预防。由于安全问题是一个已知漏洞,是否可以 Spring 安全措施来防止 XSS 仅 并禁用任何形式的授权和身份验证?
是的,尽管您可能仍然需要一些东西,例如 Spring 安全应用程序防火墙。
默认情况下,HttpSecurity会添加http基础、表单登录、CSRF保护和各种安全header,但这些都可以配置。以下仅保留 X-XSS-Protection header:
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) {
http
.csrf().disable()
.headers()
.defaultsDisabled()
.xssProtection()
}
}