我正在尝试修复反射的XSS攻击,该攻击会在路径url中注入以下内容:http:/dev.app.com/Service/form //%27%7Calert(document.domain)%7C %27?method =初始化
我尝试将XSSFilter与ESAPI(用于编码)一起使用,从而部分解决了该问题。我想知道我们是否可以使用TomcatrelativePathChars ='[]'配置阻止攻击。
我尝试配置relaxedPathChars ='[]',但是没有运气,我正在Tomcat 7.0.56上运行它
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" relaxedQueryChars='[]^' relaxedPathChars='[|]'/>
(应用程序仅在AJP协议上运行)