作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
在表单字段中发布带有“on”或以“on”开头的任何单词作为最后一个单词的表单,从而导致来自 aws waf 的 XSS 块
被此规则阻止
解码为 URL 后正文包含跨站点脚本威胁
例如“仅二十”或“在线”或“检查”所有结果在 XSS 块中
这些似乎是正常的词,为什么它会被xss阻止?
但最后有空格它不会阻塞
例如“二十只”或“在线”或“检查”这些作品
最佳答案
您可以尝试升级到 WAFv2,但是某些字符“on”+“&”的组合仍可能导致误报。导致问题的规则是带有 URL 解码的 body 上的 XSS。因此,如果您的表单数据是使用 url 编码提交的,您可能会遇到问题。如果您将表单作为 JSON 数据提交或使用 MIME multipart/form-data 它应该可以工作。我有 2 个应用程序,一个使用 fetch api 使用 javascript XHR 提交表单数据,它使用 multipart/form-data,另一个使用 JSON 数据没有被阻止。
否则,您必须调整 XSS 规则或将该特定规则设置为计数。我不会发布如何调整以免有人潜伏在这里并试图变得有趣。
您添加空格的建议也有效,后端可以删除空格或保持原样。有点烦人,但它有效。
关于xss - 表单字段值中带有 "ON"关键字的 AWS WAF XSS 检查阻止表单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59211003/
我是一名优秀的程序员,十分优秀!