Xpages 如何避免XSP/Domino跨站点脚本漏洞?
在引用/xsp/.ibmmodres/xsp/Domino资源时,似乎可以在get请求中插入javascript 通常,当您在.nsf/resources上尝试此操作时,您会得到一个正确的默认或自定义错误页面,而没有XSS的可能性。特殊字符被替换 例如: -http://[server]/[path]/[dbname].nsf/%3Cscript%3Ealert%28document.cookie%29%3C/script%3E 结果: HTTP Web服务器:找不到设计元素 但是参考/xsp/.ibmmodres/resources,它会产生XSS可能性 例如:Xpages 如何避免XSP/Domino跨站点脚本漏洞?,xpages,Xpages,在引用/xsp/.ibmmodres/xsp/Domino资源时,似乎可以在get请求中插入javascript 通常,当您在.nsf/resources上尝试此操作时,您会得到一个正确的默认或自定义错误页面,而没有XSS的可能性。特殊字符被替换 例如: -http://[server]/[path]/[dbname].nsf/%3Cscript%3Ealert%28document.cookie%29%3C/script%3E 结果: HTTP Web服务器:找不到设计元素 但是参考/xsp/
- http://[server]/[path]/[dbname].nsf/xsp/.ibmmodres/%3Cscript%3Ealert%28document.cookie%29%3C/script%3E
- 我得到一个404错误页面“无法加载未注册的资源/”
- 它执行CSJS并显示例如domAuthSessiond
请帮忙 以下是一篇关于如何避免这种情况的文章:
检查您的Domino版本。应在8.5.3中固定。FP2(不完全确定)(但肯定是9.0测试版)。 除此之外,创建一些web规则:
Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmxspres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)
Type of rule: HTTP response headers
Incoming URL pattern: */xsp/.ibmmodres/*
HTTP response codes: 404
Expires header: Don't add header
Custom header: Content-Type : text/plain (overwrite)
谢谢你的规则。这些都起作用了。尽管如此,它在Domino8.5.3FP3中并不是固定的。