gpt4 book ai didi

xss - 表单字段值中带有 "ON"关键字的 AWS WAF XSS 检查阻止表单

转载 作者:行者123 更新时间:2023-12-04 04:21:24 24 4
gpt4 key购买 nike

在表单字段中发布带有“on”或以“on”开头的任何单词作为最后一个单词的表单,从而导致来自 aws waf 的 XSS 块
被此规则阻止
解码为 URL 后正文包含跨站点脚本威胁
例如“仅二十”或“在线”或“检查”所有结果在 XSS 块中

这些似乎是正常的词,为什么它会被xss阻止?

但最后有空格它不会阻塞
例如“二十只”或“在线”或“检查”这些作品

最佳答案

您可以尝试升级到 WAFv2,但是某些字符“on”+“&”的组合仍可能导致误报。导致问题的规则是带有 URL 解码的 body 上的 XSS。因此,如果您的表单数据是使用 url 编码提交的,您可能会遇到问题。如果您将表单作为 JSON 数据提交或使用 MIME multipart/form-data 它应该可以工作。我有 2 个应用程序,一个使用 fetch api 使用 javascript XHR 提交表单数据,它使用 multipart/form-data,另一个使用 JSON 数据没有被阻止。

否则,您必须调整 XSS 规则或将该特定规则设置为计数。我不会发布如何调整以免有人潜伏在这里并试图变得有趣。

您添加空格的建议也有效,后端可以删除空格或保持原样。有点烦人,但它有效。

关于xss - 表单字段值中带有 "ON"关键字的 AWS WAF XSS 检查阻止表单,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59211003/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com