IIS 8.0-удаление html-тегов из url (XSS protection)

Вот в чем дело. Я пытаюсь защитить свой сервер от атак XSS (и до сих пор без проблем, изменяя заголовки ответов HTTP и другие вещи), но общая уязвимость все еще продолжается, и это происходит, потому что в URL-адрес может быть вставлен некоторый код javascript

(т. е. http://myhost.com/thisfile.jsp?<script>alert("hello")</script> )

когда я набираю это, ответом является состояние HTTP 202 OK (оно перенаправляет на мою страницу 404). Но мне нужно сделать одно из этих действий:

  1. бросьте другой статус HTTP (405, 500 или любой статус, дающий ошибку)
  2. Выдать ошибку.

Что я могу сделать? Есть ли какой-либо способ удалить теги или распознать их через веб.config файл, чтобы бросить ошибку?… Я пытался с модулем перезаписи и фильтрацией запросов без успеха.

Заранее большое спасибо, с уважением.

1 ответ

  1. Спасибо!… Я решил его, и это было так легко (я не могу поверить, что я не пытался, что сначала).

    Я пошел в диспетчер IIS, а затем нажмите кнопку фильтрация запросов.

    Затем на вкладке » правила «я добавил»правило фильтрации». Применяясь ко всем расширениями файлов и в поле «Deny Query String» я добавил<script><scr+ipt>, и т.д. Поэтому, когда URL-адрес поставляется с тегом, подобным этому, соединение закрывается без отображения 404 или любой страницы ошибки.

    Это сработало, и теперь сканер уязвимостей не показывает никакого риска.