0

  1. 如何修复以下 XSS 漏洞问题?

    如何保护我的网站免受 XSS 漏洞的影响?

通过在网站的 URL 中添加 javascript,所有 cookie 值都会显示出来。

下面是一个类似的 URL 示例,它包含一个 java 脚本:

https://www.example.com/ >< script>alert(document.cookie)</ script>&UserTarget= https://www.example.com/homepageredirect.jsp

为了克服这个问题,我在 webserver 7.0 的 obj.conf 文件中添加了以下文件管理器:

Input fn="insert-filter"

method="POST"

filter="sed-request"

sed="s/(<|%3c)/\\< / gi"

sed="s/(>|%3e)/\\>/gi"

在 obj.conf 中进行这些更改之后,问题仍然没有解决。请提出一些建议。

4

2 回答 2

1

当您打印 HTML 时,只需在客户端(或服务器端,这取决于您要打印的内容)中转义特殊字符,然后您将被允许传递任何输入,而无需使用笨拙的正则表达式或其他一种过滤器。

示例:假设我有一个可以接收 a 的变量<script>alert( document.cookie )</script>,当我打印时我会执行类似<div> <%= escapeHTML( dangerousVariable ) %> </div>.

于 2013-01-28T01:55:44.513 回答
0

在此 URL XSS 预防规则中提到您可以根据您的要求应用规则

于 2016-03-02T09:33:29.777 回答