Вот в чем дело. Я пытаюсь защитить свой сервер от атак XSS (и до сих пор без проблем, изменяя заголовки ответов HTTP и другие вещи), но общая уязвимость все еще продолжается, и это происходит, потому что в URL-адрес может быть вставлен некоторый код javascript
(т. е. http://myhost.com/thisfile.jsp?<script>alert("hello")</script> )
когда я набираю это, ответом является состояние HTTP 202 OK (оно перенаправляет на мою страницу 404). Но мне нужно сделать одно из этих действий:
- бросьте другой статус HTTP (405, 500 или любой статус, дающий ошибку)
- Выдать ошибку.
Что я могу сделать? Есть ли какой-либо способ удалить теги или распознать их через веб.config файл, чтобы бросить ошибку?… Я пытался с модулем перезаписи и фильтрацией запросов без успеха.
Заранее большое спасибо, с уважением.
Спасибо!… Я решил его, и это было так легко (я не могу поверить, что я не пытался, что сначала).
Я пошел в диспетчер IIS, а затем нажмите кнопку фильтрация запросов.
Затем на вкладке » правила «я добавил»правило фильтрации». Применяясь ко всем расширениями файлов и в поле «Deny Query String» я добавил
<script><scr+ipt>, и т.д. Поэтому, когда URL-адрес поставляется с тегом, подобным этому, соединение закрывается без отображения 404 или любой страницы ошибки.Это сработало, и теперь сканер уязвимостей не показывает никакого риска.