Spring boot 在SpringSecurity中是否可以只实现XSS预防,而不关闭其他所有功能?
我正在从事一个尚未整合OAuth2实现的项目,但我被要求调查平台上的XSS预防。由于安全问题是一个已知的漏洞,Spring security是否可以仅防止XSS并禁用任何形式的授权和身份验证?是的,尽管您可能仍然需要一些东西,如Spring security的应用程序防火墙 默认情况下,HttpSecurity将添加httpbasic、表单登录、CSRF保护和各种安全头,但这些都可以配置。以下仅保留X-XSS-Protection标头:Spring boot 在SpringSecurity中是否可以只实现XSS预防,而不关闭其他所有功能?,spring-boot,spring-security,xss,Spring Boot,Spring Security,Xss,我正在从事一个尚未整合OAuth2实现的项目,但我被要求调查平台上的XSS预防。由于安全问题是一个已知的漏洞,Spring security是否可以仅防止XSS并禁用任何形式的授权和身份验证?是的,尽管您可能仍然需要一些东西,如Spring security的应用程序防火墙 默认情况下,HttpSecurity将添加httpbasic、表单登录、CSRF保护和各种安全头,但这些都可以配置。以下仅保留X-XSS-Protection标头: @EnableWebSecurity public cla
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) {
http
.csrf().disable()
.headers()
.defaultsDisabled()
.xssProtection()
}
}