Zapobieganie XSS i XSRF
Aby chronić przed atakami typu cross-site scripting (XSS), w przypadku wszystkich odpowiedzi wymagany jest nagłówek HTTP X-Content-Type-Options: nosniff. Umieść też w nagłówku odpowiedzi Content-Type: application/json; charset=utf-8.
Aby chronić przed sfałszowaniem żądań z innej witryny (XSRF), wymagamy nagłówka HTTP X-XSRF-Protected: 1 dla wszystkich żądań.
O ile nie stwierdzono inaczej, treść tej strony jest objęta licencją Creative Commons – uznanie autorstwa 4.0, a fragmenty kodu są dostępne na licencji Apache 2.0. Szczegółowe informacje na ten temat zawierają zasady dotyczące witryny Google Developers. Java jest zastrzeżonym znakiem towarowym firmy Oracle i jej podmiotów stowarzyszonych.
Ostatnia aktualizacja: 2022-09-26 UTC.
[null,null,["Ostatnia aktualizacja: 2022-09-26 UTC."],[[["All responses must include the `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to mitigate cross-site scripting (XSS) vulnerabilities."],["All requests must include the `X-XSRF-Protected: 1` header to defend against cross-site request forgery (XSRF) attacks."]]],["Responses should include `X-Content-Type-Options: nosniff` and `Content-Type: application/json; charset=utf-8` headers to prevent cross-site scripting (XSS). To prevent cross-site request forgery (XSRF), all requests must include the `X-XSRF-Protected: 1` header. These actions enhance security by ensuring content types are strictly interpreted and verifying the origin of requests, thus mitigating common web vulnerabilities.\n"]]
