最近，我研究了很多与XSS攻击有关的内容。我正在寻找XSS攻击的预防技术。

我遇到了一个由OWASP建议的名为Antisamy的图书馆。 AntiSamy是Java的HTML，CSS和JavaScript过滤器，可根据策略文件清除用户输入。 AntiSamy不是HTML，CSS和JavaScript验证器。这只是确保HTML，CSS和JavaScript输入严格遵循策略文件定义的规则的一种方法

另外，我还阅读了有关称为内容安全策略(CSP)的HTTP响应 header 。它允许您创建受信任内容来源的白名单，并指示浏览器仅执行或呈现来自那些来源的资源。

那么，我应该只使用Antisamy还是CSP，或者同时使用两者都将是有益的？

先感谢您。

关于安全性，只要有时间，答案总是总/全部/全部。

他们俩本身都是有益的。

我认为从长远来看，CSP更有益，但是我有很大的偏见。

根据完全有效的评论进行编辑

并非所有用户代理都支持CSP，而反Sammy则与用户代理无关。