您的位置: 首页  >  技术问答  >  IIS 8.0 - 从网址去除html标签(XSS保护)

IIS 8.0 - 从网址去除html标签(XSS保护)

分类: 技术问答 2022-08-24 10:54:02
问题描述:

这是事情。我试图保护我的服务器免受XSS攻击(到目前为止,没有任何问题,改变了HTTP响应头文件和其他东西),但是一个通用漏洞仍在继续,这是因为在URL中一些JavaScript代码可能是插入IIS 8.0 - 从网址去除html标签(XSS保护)

(即http://myhost.com/thisfile.jsp?<script>alert("hello")</script>

当我键入此,响应HTTP 202种OK状态(它重定向到我的404页)。但我需要做以下操作之一:

  1. 掷另一个HTTP状态(405,500,还是给人一种错误的任何状态)
  2. 抛出一个错误。

我该怎么办?有没有什么方法去掉标签或通过web.config文件识别它们以引发错误?......我一直在尝试使用重写模块和请求过滤,但没有成功。

非常感谢你提前,问候。

+0

你真的看到脚本在运行吗?这不是很清楚 –

+0

对不起@GilCohen,不,我没有看到脚本运行,因为它立即进入404自定义错误页面。但是,如果它允许URL的执行而且nessus漏洞扫描将其显示为中等风险。然而,我解决了它(比我想象的要容易)。我会在答案中发布它。谢谢 :) – edd2110

谢谢......我解决了它,这很容易(我不相信我没有先尝试)。

我去了IIS管理器,然后点击请求筛选。

然后,在“规则”选项卡上,我添加了“过滤规则”。应用于所有文件扩展名和“拒绝查询字符串”字段中,我添加了<script>,<scr+ipt>等。因此,当URL带有这样的标记时,连接关闭而不显示404或任何错误页面。

它的工作和现在的漏洞扫描程序不显示任何风险。

相关推荐