提问
SAP Commerce Cloud storefront Security filter

XSS筛选器无法在店面中使用,但可以在其他地方使用。

2020-09-22 10:38发布

站内问答 / SAP Cloud
1105 3 5

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


通过 https://wiki.hybris.com/display/ release5/Web + Security + XSS + Filter 。 当 xss.filter.action = STRIP 时,XSS筛选器无法在店面上工作,但是将其设置为 REJECT 可以正常工作,并且我们得到了错误的请求。

设置为STRIP时,XSS确实可以在HMC中使用。

我什至尝试将店面前缀添加到所有xss属性,但仍然无法正常工作。 有什么想法吗?

编辑:我们的店面具有以下过滤器(通常)

 <代码> <过滤器>
       XSSFilter 
       de.hybris.platform.servicelayer.web.XSSFilter 
           true

上面的过滤器也映射如下。

  
           XSSFilter 
          /*

不起作用的有效负载示例:

JSON Post REQUEST,具有以下内容:"说明":" "

更多详细信息:请求的Content-Type为" application-json",有效负载为JSON对象-与具有键值的表单提交不同。 我认为问题是OOTB XSSFilter仅过滤标头和参数值。

谢谢

Vikesh

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


通过 https://wiki.hybris.com/display/ release5/Web + Security + XSS + Filter 。 当 xss.filter.action = STRIP 时,XSS筛选器无法在店面上工作,但是将其设置为 REJECT 可以正常工作,并且我们得到了错误的请求。

设置为STRIP时,XSS确实可以在HMC中使用。

我什至尝试将店面前缀添加到所有xss属性,但仍然无法正常工作。 有什么想法吗?

编辑:我们的店面具有以下过滤器(通常)

 <代码> <过滤器>
       XSSFilter 
       de.hybris.platform.servicelayer.web.XSSFilter 
           true

上面的过滤器也映射如下。

  
           XSSFilter 
          /*

不起作用的有效负载示例:

JSON Post REQUEST,具有以下内容:"说明":" "

更多详细信息:请求的Content-Type为" application-json",有效负载为JSON对象-与具有键值的表单提交不同。 我认为问题是OOTB XSSFilter仅过滤标头和参数值。

谢谢

Vikesh

付费偷看设置
发送
3条回答
clasier
1楼-- · 2020-09-22 11:10

Vikesh,您好

如果我了解您的查询,您就是在说默认的XSSFilter不会过滤有效负载,因为它是JSON。

我有一个类似的问题,当我的请求采用"多部分"帖子的形式并且易受攻击的输入作为"多部分"帖子正文的一部分发送时,XSS筛选器仅对这些参数没有任何影响,因为 您已正确确定OOTB筛选器仅检查标头和表单查询参数。

因此,您必须编写一个自定义XSS过滤器来处理这种情况,或者作为一种变通办法,您可以编写另一个过滤器,该过滤器将读取JSON有效负载并将其添加到HTTP Request查询参数中,并让OOTB XSS过滤器 接下来,对更新后的HTTP请求对象进行操作。

谢谢Suhas

小灯塔
2楼-- · 2020-09-22 11:00

嗨,维克什,

能否请您分享一些有关如何实施的详细信息。

谢谢,Manoj

愤怒的猪头君
3楼-- · 2020-09-22 11:08

在店面属性文件中,您可能已将其禁用。 检查店面local.properties文件。 我们在店面xss.filter.enabled = true中设置此属性,如果您正在寻找某些无法与过滤器一起使用的特定属性,则可以检查以下内容

  • yacceleratorstorefront.xss.filter.rule.src1 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\'(。*?)\\\'

  • yacceleratorstorefront.xss.filter.rule.src2 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = [\\ s \ r \ n] \\\"(。*?)\\\"

  • yacceleratorstorefront.xss.filter.rule.src3 =(?ims)[\\ s \ r \ n] + src[\\ s \ r \ n] = (。 *?)>

  • yacceleratorstorefront.xss.filter.rule.javascript2 =(?i)\\ u0023

  • yacceleratorstorefront.xss.filter.rule.braces =(?i)<(。*?)>

一周热门 更多>

点击此处---> EasySAP.com 一起学习S4 HANA ...