IIS 8.0 - 从 url 中剥离 html 标签(XSS 保护)

IIS 8.0 - Strip html tags from url (XSS protection)

事情是这样的。我正在尝试保护我的服务器免受 XSS 攻击(到目前为止,更改 HTTP 响应 Headers 和其他事情一点问题都没有)但是通用漏洞仍在继续,它发生是因为在 URL可以插入一些javascript代码

(即 http://myhost.com/thisfile.jsp?<script>alert("hello")</script>

当我键入此内容时,响应是 HTTP 202 OK Status(它重定向到我的 404 页面)。但我需要执行以下操作之一:

  1. 抛出另一个 HTTP 状态(405、500 或任何给出错误的状态)
  2. 抛出错误。

我能做什么?有什么方法可以剥离标签或通过 web.config 文件识别它们以抛出错误吗?...我一直在尝试重写模块和请求过滤,但没有成功。

提前致谢,问候。

谢谢...我解决了它,而且非常简单(真不敢相信我没有先尝试过)。

我转到 IIS 管理器,然后单击请求筛选。

然后,在 "Rules" 选项卡上我添加了一个 "Filtering Rule"。应用于所有文件扩展名并在字段 "Deny Query String" 中添加了 <script><scr+ipt> 等。因此,当 URL 带有这样的标签时,连接将关闭而不显示404 或任何错误页面。

它成功了,现在漏洞扫描器没有显示任何风险。