2020-09-22 10:38发布
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)通过 https://wiki.... 显示全部
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
通过 https://wiki.hybris.com/display/ release5/Web + Security + XSS + Filter 。 当 xss.filter.action = STRIP 时,XSS筛选器无法在店面上工作,但是将其设置为 REJECT 可以正常工作,并且我们得到了错误的请求。
xss.filter.action = STRIP
REJECT
设置为STRIP时,XSS确实可以在HMC中使用。
我什至尝试将店面前缀添加到所有xss属性,但仍然无法正常工作。 有什么想法吗?
编辑:我们的店面具有以下过滤器(通常)
<代码> <过滤器> XSSFilter de.hybris.platform.servicelayer.web.XSSFilter true
上面的过滤器也映射如下。
XSSFilter /*
不起作用的有效负载示例:
JSON Post REQUEST,具有以下内容:"说明":" "
"说明":" "
更多详细信息:请求的Content-Type为" application-json",有效负载为JSON对象-与具有键值的表单提交不同。 我认为问题是OOTB XSSFilter仅过滤标头和参数值。
谢谢
Vikesh
在店面属性文件中,您可能已将其禁用。 检查店面local.properties文件。 我们在店面xss.filter.enabled = true中设置此属性,如果您正在寻找某些无法与过滤器一起使用的特定属性,则可以检查以下内容
yacceleratorstorefront.xss.filter.rule.src1 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\'(。*?)\\\'
yacceleratorstorefront.xss.filter.rule.src2 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\"(。*?)\\\"
yacceleratorstorefront.xss.filter.rule.src3 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = (。 *?)>
yacceleratorstorefront.xss.filter.rule.javascript2 =(?i)\\ u0023
yacceleratorstorefront.xss.filter.rule.braces =(?i)<(。*?)>
最多设置5个标签!
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 归来 的问题《XSS筛选器无法在店面中使用,但可以在其他地方使用。》','https://www.easysap.com/answer/95875/259913.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
在店面属性文件中,您可能已将其禁用。 检查店面local.properties文件。 我们在店面xss.filter.enabled = true中设置此属性,如果您正在寻找某些无法与过滤器一起使用的特定属性,则可以检查以下内容
yacceleratorstorefront.xss.filter.rule.src1 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\'(。*?)\\\'
yacceleratorstorefront.xss.filter.rule.src2 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\"(。*?)\\\"
yacceleratorstorefront.xss.filter.rule.src3 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = (。 *?)>
yacceleratorstorefront.xss.filter.rule.javascript2 =(?i)\\ u0023
yacceleratorstorefront.xss.filter.rule.braces =(?i)<(。*?)>
一周热门 更多>