Spring security 默认情况下是否启用了Spring安全中的Xss保护？_Spring Security_Xss

Spring security 默认情况下是否启用了Spring安全中的Xss保护？

spring-security

Spring security 默认情况下是否启用了Spring安全中的Xss保护？,spring-security,xss,Spring Security,Xss,我想在我的应用程序中启用Spring Security XSS保护 1）阅读文档和博客，并指出默认情况下存在XSS 2）并指示默认情况下不存在 3）如果我在扩展websecurityConfigureAdapter的类中的configure方法中使用http.headers（）.xssProtection（）：这会禁用所有其他默认头吗？除非您专门包含以下代码以禁用默认头，否则默认头不会被禁用 http.headers().defaultsDisabled() 第1点和第2点，我的理解是博

我想在我的应用程序中启用Spring Security XSS保护

1）阅读文档和博客，并指出默认情况下存在XSS

2）并指示默认情况下不存在

3）如果我在扩展

websecurityConfigureAdapter

的类中的configure方法中使用

http.headers（）.xssProtection（）

：这会禁用所有其他默认头吗？

除非您专门包含以下代码以禁用默认头，否则默认头不会被禁用

http.headers().defaultsDisabled()

第1点和第2点，我的理解是博客和文档都有相同的信息

X-XSS-Protection: 1; mode=block

过滤（过滤掉XSS攻击）通常在默认情况下启用，因此添加标头通常只需确保它已启用，并指示浏览器执行什么操作检测到XSS攻击时执行