Fatal编程技术网
  • spring-boot/
  • Spring boot 在SpringSecurity中是否可以只实现XSS预防,而不关闭其他所有功能?

Spring boot 在SpringSecurity中是否可以只实现XSS预防,而不关闭其他所有功能?

spring-boot spring-security

Spring boot 在SpringSecurity中是否可以只实现XSS预防,而不关闭其他所有功能?,spring-boot,spring-security,xss,Spring Boot,Spring Security,Xss,我正在从事一个尚未整合OAuth2实现的项目,但我被要求调查平台上的XSS预防。由于安全问题是一个已知的漏洞,Spring security是否可以仅防止XSS并禁用任何形式的授权和身份验证?是的,尽管您可能仍然需要一些东西,如Spring security的应用程序防火墙 默认情况下,HttpSecurity将添加httpbasic、表单登录、CSRF保护和各种安全头,但这些都可以配置。以下仅保留X-XSS-Protection标头: @EnableWebSecurity public cla

我正在从事一个尚未整合OAuth2实现的项目,但我被要求调查平台上的XSS预防。由于安全问题是一个已知的漏洞,Spring security是否可以仅防止XSS并禁用任何形式的授权和身份验证?

是的,尽管您可能仍然需要一些东西,如Spring security的应用程序防火墙

默认情况下,HttpSecurity将添加httpbasic、表单登录、CSRF保护和各种安全头,但这些都可以配置。以下仅保留X-XSS-Protection标头:

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) {
        http
            .csrf().disable()
            .headers()
                .defaultsDisabled()
                .xssProtection()
    }
}