在我们的漏洞报告中有一个漏洞,我在下面提到过。
“我们发现 Microsoft ASP.NET 验证请求过滤器可能允许远程攻击者绕过其过滤器并使用小于斜杠和小于波浪斜杠 (<~/) 序列进行跨站点脚本攻击。这些漏洞在 CVE-2008-3842 和 CVE-2008-3843 中进行了描述。”
我们使用的是 Windows Server 2008r2 Service Pack1 企业版。我们当前的 .Net Framework 是 4.0.30319,而为了创建应用程序池,我们使用 .Net Framework 2.0.50727,因为这是开发人员的要求。
请提出您的意见来解决此问题。
答案1
据我所知,微软尚未真正确认此问题,但最好自己过滤数据。他们只是说,如果你依赖本机内置的 XSS 保护,你可能会失望。
至于如何防范XSS:
OWASP 在这里很好地涵盖了 XSS,即使有预防表,但最基本的原则就是不要真正信任用户输入,并实施检查和过滤,以确保他们输入的内容是他们应该输入的内容(例如 %s 和
总结代码中的最佳实践意味着此漏洞对您的影响最小。不良实践意味着您可能拥有 XSS 向量。无论谁在运行该网站,都应该知道如何避免 XSS 向量。