我已经在OWASP和网络上看到了很多关于如何避免/阻止XSS攻击的信息。但是,我还没有找到任何提到在检测到XSS攻击时如何响应的内容。
应该返回什么HTTP状态代码(即400,403 ......)? 您应该在屏幕上还是在console.log上提供错误消息? 将它们重定向到另一个页面?
答案 0 :(得分:2)
您应该发送HTTP 400(错误请求)响应代码和最小错误消息,足以让技术支持可以帮助合法用户,但不会向攻击者提供信息。
记录请求。
合法用户可能会输入一些他们不应该提供的信息,因此您不应该采取过于严厉的措施。
真实世界的例子是Hibernate Validator的@SafeHtml验证,如果输入可能是XSS,将导致400状态代码。