1

由于一些旧 URL 引发错误,我注意到我们的一些网站上的一些 XSS 尝试。IE。 http://www.mysite.com/ [一些旧关键字]/searchterm 。

这些站点是 MVC3 站点,根据我对使用防伪令牌的理解 - 这仅适用于 POST 请求。

我不认为我想限制对 URL 的所有请求,因为有些请求可能是有效的请求(即 GoogleCrawler)。

在这种情况下,有哪些方法可以避免/阻止 XSS 攻击?

一旦我有违规的 IP 地址,有没有办法使用 APPCMD 将 IP 地址添加到 IIS 中的拒绝列表,类似于使用 APPCMD 根据列表将新网站添加到 IIS的解决方案?

我之所以这么问,是因为我注意到有几个 IP 地址试图对我们的几个站点进行跨站点脚本攻击。我想创建一个列表(可能从http://www.ipfraudreporter.com之类的地方读取列表)并将它们加载到我们的服务器上。

4

1 回答 1

0

阻塞 XSS 是一个输出编码问题,而不是大多数情况下的输入问题。例如,如果您只允许使用字母数字字符,则可以使用非常严格的基于白名单的输入验证来阻止它,但在大多数情况下,它是针对给定上下文正确编码输出。请参阅简化的 OWASP XSS 预防备忘单。

关于禁止 ips 听起来,我不确定在你的环境中有什么可能。可以将它们添加到防火墙或 IP,或者编写一个 HttpModule 来阻止对禁止 ip 列表的传入请求。

于 2012-03-21T05:53:34.543 回答