2. 질의 응답
  3. XSS 공격을 방지하기 위해 반물질 또는 콘텐츠 보안 정책 또는 둘 다

XSS 공격을 방지하기 위해 반물질 또는 콘텐츠 보안 정책 또는 둘 다

2014-02-19 3 views
5

최근 XSS 공격과 관련하여 많은 연구를했습니다. 나는 XSS 공격의 예방 기술을 찾고 있었다.XSS 공격을 방지하기 위해 반물질 또는 콘텐츠 보안 정책 또는 둘 다

나는 OWASP에서 제안한 Antisamy라는 라이브러리를 발견했습니다. AntiSamy는 정책 파일을 기반으로 사용자 입력을 삭제하는 Java 용 HTML, CSS 및 JavaScript 필터입니다. AntiSamy는 HTML, CSS 및 JavaScript 유효성 검사 도구가 아닙니다. HTML, CSS 및 JavaScript 입력이 정책 파일에 정의 된 규칙을 엄격하게 준수하는지 확인하는 방법 일뿐입니다.

또한 CSP (Content Security Policy)라는 HTTP 응답 헤더에 대해 읽었습니다. 신뢰할 수있는 소스 소스의 허용 목록을 작성하고 브라우저가 해당 소스의 자원 만 실행하거나 렌더링하도록 지시합니다.

Antisamy 나 CSP 만 사용해야합니까? 아니면 둘 다 사용하면 도움이 될까요?

미리 감사드립니다.

출처

2014-02-19 tiger

+0

최대 보안을 찾고 시간이 있다면, 나는 둘 다 구현한다고 말합니다. 깊이있는 방어. –

답변

3

보안과 관련하여 답변은 시간이있는 한 언제나 모두/모두/모든 것입니다.

그들은 모두 자신에게 유익합니다.

나는 CSP가 이라고 주장하고 싶다. 더 많은 것을 유익한 장기지만, 나는 매우 편향되어있다. 안티 - 새미는 사용자 에이전트 불가지론 반면 완전히 유효 코멘트

CSP에 따라

편집, 모든 사용자 에이전트에 의해 지원되지 않습니다.

출처

2014-02-20 01:34:35 oreoshake

+2

CSP는 아직 공식 사양으로 존재하지 않는 HTML5의 일부임을 기억하십시오. 2014 년 말에 CSP 플래그를 지원하지 않는 브라우저 버전이 나올 것입니다. – LaJmOn

1

exploits found to AntiSamy in the past이 있었고 향후 XSS 공격이 더 명확해질 가능성이 있습니다 (체크 아웃 : video on mXSS).

둘 다 사용하는 것이 좋습니다. AntiSamy는 CSP를 지원하지 않는 브라우저에 효과적입니다. CSP는 현재와 미래에 효과적입니다 supported browsers.

출처

2014-02-21 09:30:50 SilverlightFox

+0

악용 링크가 끊어졌습니다. 업데이트 해주십시오. –

 관련 문제

  • 관련 문제 없음^_^