Spring security 默认情况下是否启用了Spring安全中的Xss保护?
我想在我的应用程序中启用Spring Security XSS保护 1) 阅读文档和博客,并指出默认情况下存在XSS 2) 并指示默认情况下不存在Spring security 默认情况下是否启用了Spring安全中的Xss保护?,spring-security,xss,Spring Security,Xss,我想在我的应用程序中启用Spring Security XSS保护 1) 阅读文档和博客,并指出默认情况下存在XSS 2) 并指示默认情况下不存在 3) 如果我在扩展websecurityConfigureAdapter的类中的configure方法中使用http.headers().xssProtection():这会禁用所有其他默认头吗?除非您专门包含以下代码以禁用默认头,否则默认头不会被禁用 http.headers().defaultsDisabled() 第1点和第2点,我的理解是博
3) 如果我在扩展
websecurityConfigureAdapter
的类中的configure方法中使用http.headers().xssProtection()
:这会禁用所有其他默认头吗?除非您专门包含以下代码以禁用默认头,否则默认头不会被禁用
http.headers().defaultsDisabled()
第1点和第2点,我的理解是博客和文档都有相同的信息
X-XSS-Protection: 1; mode=block
过滤(过滤掉XSS攻击)通常在默认情况下启用,因此添加标头
通常只需确保它已启用,并指示浏览器执行什么操作
检测到XSS攻击时执行