ここが問題です。私はXSS攻撃からサーバーを保護しようとしています(そして今までのところ何の問題もなく、HTTP応答ヘッダーやその他のものを変更しています)。しかし、一般的な脆弱性はまだ進行中です。私はこれを入力すると、レスポンスはHTTP 202 OKステータス(それは私の404ページにリダイレクト)であるIIS 8.0 - URLからストリップhtmlタグ(XSS保護)
(すなわちhttp://myhost.com/thisfile.jsp?<script>alert("hello")</script>
)
を挿入します。しかし、私はこれらのいずれかの操作を実行する必要があります。
- 別のHTTPステータス(405、500、またはエラーを与える任意の状態を)投げる
- エラーをスローします。
どうすればよいですか?タグを取り除くか、web.configファイルを使ってエラーをスローする方法はありますか?...書き換えモジュールと要求フィルタリングを試してきましたが、まったく成功しませんでした。
どうもありがとうございました。
実際にスクリプトが実行されていますか?それは非常に明確ではない –
申し訳ありません@ GilCohen、いいえ、それはすぐに404のカスタムエラーページに行くので、私はそのスクリプトが実行されて表示されません。しかし、URLの実行が許可されている場合、nessusの脆弱性スキャンは、それを中程度のリスクとして示しています。しかし、私はそれを解決しました。そして私は答えにそれを掲示します。ありがとうございました :) – edd2110