Prevención de XSS y XSRF
A fin de brindar protección contra las secuencias de comandos entre sitios (XSS), se requiere el encabezado HTTP X-Content-Type-Options: nosniff para todas las respuestas. También incluye Content-Type: application/json; charset=utf-8 en el encabezado de respuesta.
A fin de brindar protección contra la falsificación de solicitudes entre sitios (XSRF), se requiere el encabezado HTTP X-XSRF-Protected: 1 para todas las solicitudes.
Salvo que se indique lo contrario, el contenido de esta página está sujeto a la licencia Atribución 4.0 de Creative Commons, y los ejemplos de código están sujetos a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2022-09-26 (UTC)
[null,null,["Última actualización: 2022-09-26 (UTC)"],[[["All responses must include the `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to mitigate cross-site scripting (XSS) vulnerabilities."],["All requests must include the `X-XSRF-Protected: 1` header to defend against cross-site request forgery (XSRF) attacks."]]],["Responses should include `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to prevent cross-site scripting (XSS). To prevent cross-site request forgery (XSRF), all requests must include the `X-XSRF-Protected: 1` header. These actions enhance security by ensuring content types are strictly interpreted and verifying the origin of requests, thus mitigating common web vulnerabilities.\n"]]
