这就是事情。我试图保护我的服务器免受XSS攻击(并且到目前为止没有任何问题,更改HTTP响应标头和其他东西)但是一般的漏洞仍然存在,并且它发生的原因是因为在URL中有一些javascript代码可插入
(即http://myhost.com/thisfile.jsp?<script>alert("hello")</script>)
当我输入时,响应是HTTP 202 OK状态(它重定向到我的404页面)。但我需要做其中一项行动:
我该怎么办?有没有办法剥离标签或通过web.config文件识别它们以引发错误?...我一直在尝试使用重写模块和请求过滤而没有成功。
非常感谢您提前,问候。
答案 0 :(得分:0)
谢谢......我解决了它,这很容易(我无法相信我没有先尝试过)。
我去了IIS管理器,然后点击请求过滤。
然后,在&#34;规则&#34;选项卡我添加了一个&#34;过滤规则&#34;。应用于所有文件扩展名和字段&#34;拒绝查询字符串&#34;我添加了<script>,<scr+ipt>等等。因此,当网址附带标记时,连接会关闭而不会显示404或任何错误页面。
它有效,现在漏洞扫描程序没有显示任何风险。