2020-09-22 10:38发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)通过 https://wiki.... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
通过 https://wiki.hybris.com/display/ release5/Web + Security + XSS + Filter 。 当 xss.filter.action = STRIP 时,XSS筛选器无法在店面上工作,但是将其设置为 REJECT 可以正常工作,并且我们得到了错误的请求。
xss.filter.action = STRIP
REJECT
设置为STRIP时,XSS确实可以在HMC中使用。
我什至尝试将店面前缀添加到所有xss属性,但仍然无法正常工作。 有什么想法吗?
编辑:我们的店面具有以下过滤器(通常)
<代码> <过滤器> XSSFilter de.hybris.platform.servicelayer.web.XSSFilter true
上面的过滤器也映射如下。
XSSFilter /*
不起作用的有效负载示例:
JSON Post REQUEST,具有以下内容:"说明":" "
"说明":" "
更多详细信息:请求的Content-Type为" application-json",有效负载为JSON对象-与具有键值的表单提交不同。 我认为问题是OOTB XSSFilter仅过滤标头和参数值。
谢谢
Vikesh
Vikesh,您好
如果我了解您的查询,您就是在说默认的XSSFilter不会过滤有效负载,因为它是JSON。
我有一个类似的问题,当我的请求采用"多部分"帖子的形式并且易受攻击的输入作为"多部分"帖子正文的一部分发送时,XSS筛选器仅对这些参数没有任何影响,因为 您已正确确定OOTB筛选器仅检查标头和表单查询参数。
因此,您必须编写一个自定义XSS过滤器来处理这种情况,或者作为一种变通办法,您可以编写另一个过滤器,该过滤器将读取JSON有效负载并将其添加到HTTP Request查询参数中,并让OOTB XSS过滤器 接下来,对更新后的HTTP请求对象进行操作。
谢谢Suhas
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 归来 的问题《XSS筛选器无法在店面中使用,但可以在其他地方使用。》','https://www.easysap.com/answer/95875/259911.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
Vikesh,您好
如果我了解您的查询,您就是在说默认的XSSFilter不会过滤有效负载,因为它是JSON。
我有一个类似的问题,当我的请求采用"多部分"帖子的形式并且易受攻击的输入作为"多部分"帖子正文的一部分发送时,XSS筛选器仅对这些参数没有任何影响,因为 您已正确确定OOTB筛选器仅检查标头和表单查询参数。
因此,您必须编写一个自定义XSS过滤器来处理这种情况,或者作为一种变通办法,您可以编写另一个过滤器,该过滤器将读取JSON有效负载并将其添加到HTTP Request查询参数中,并让OOTB XSS过滤器 接下来,对更新后的HTTP请求对象进行操作。
谢谢Suhas
一周热门 更多>