מניעת XSS ו-XSRF
קל לארגן דפים בעזרת אוספים
אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.
כדי להגן מפני פרצת אבטחה XSS (cross-site scripting), נדרשת כותרת ה-HTTP X-Content-Type-Options: nosniff עבור כל התגובות. יש לכלול גם את Content-Type: application/json; charset=utf-8 בכותרת התגובה.
כדי להגן מפני זיוף בקשות בין אתרים (XSRF), נדרשת כותרת HTTP X-XSRF-Protected: 1 לכל הבקשות.
אלא אם צוין אחרת, התוכן של דף זה הוא ברישיון Creative Commons Attribution 4.0 ודוגמאות הקוד הן ברישיון Apache 2.0. לפרטים, ניתן לעיין במדיניות האתר Google Developers. Java הוא סימן מסחרי רשום של חברת Oracle ו/או של השותפים העצמאיים שלה.
עדכון אחרון: 2022-09-26 (שעון UTC).
[null,null,["עדכון אחרון: 2022-09-26 (שעון UTC)."],[[["\u003cp\u003eAll responses must include the \u003ccode\u003eX-Content-Type-Options: nosniff\u003c/code\u003e and \u003ccode\u003eContent-Type: application/json; charset=utf-8\u003c/code\u003e headers to mitigate cross-site scripting (XSS) vulnerabilities.\u003c/p\u003e\n"],["\u003cp\u003eAll requests must include the \u003ccode\u003eX-XSRF-Protected: 1\u003c/code\u003e header to defend against cross-site request forgery (XSRF) attacks.\u003c/p\u003e\n"]]],["Responses should include `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to prevent cross-site scripting (XSS). To prevent cross-site request forgery (XSRF), all requests must include the `X-XSRF-Protected: 1` header. These actions enhance security by ensuring content types are strictly interpreted and verifying the origin of requests, thus mitigating common web vulnerabilities.\n"],null,["# XSS and XSRF Prevention\n\nTo protect against cross-site scripting (XSS), requires the HTTP header `X-Content-Type-Options: nosniff` for all responses. Also include `Content-Type: application/json; charset=utf-8` in the response header.\n\nTo protect against cross-site request forgery (XSRF), requires the HTTP header `X-XSRF-Protected: 1` for all requests."]]
