xss - 表单字段值中带有 "ON"关键字的 AWS WAF XSS 检查阻止表单

Question

在表单字段中发布带有“on”或以“on”开头的任何单词作为最后一个单词的表单，从而导致来自 aws waf 的 XSS 块
被此规则阻止
解码为 URL 后正文包含跨站点脚本威胁
例如“仅二十”或“在线”或“检查”所有结果在 XSS 块中

这些似乎是正常的词，为什么它会被xss阻止？

但最后有空格它不会阻塞
例如“二十只”或“在线”或“检查”这些作品

Answer 1

您可以尝试升级到 WAFv2，但是某些字符“on”+“&”的组合仍可能导致误报。导致问题的规则是带有 URL 解码的 body 上的 XSS。因此，如果您的表单数据是使用 url 编码提交的，您可能会遇到问题。如果您将表单作为 JSON 数据提交或使用 MIME multipart/form-data 它应该可以工作。我有 2 个应用程序，一个使用 fetch api 使用 javascript XHR 提交表单数据，它使用 multipart/form-data，另一个使用 JSON 数据没有被阻止。

否则，您必须调整 XSS 规则或将该特定规则设置为计数。我不会发布如何调整以免有人潜伏在这里并试图变得有趣。

您添加空格的建议也有效，后端可以删除空格或保持原样。有点烦人，但它有效。