如何解决DataPower XI50反射XSS保护
我们正在尝试配置我们的datapower xi50,以保护登录页面免于反射性xss注入。 我们通过名称-值区域启用了保护,将xi50配置为使用此设置,但是当我们尝试通过此请求通过w3af对其进行测试时:
POST http://yyyyyyy.yyy.yyy/j_xxxxxxx
Host: www.zzzzzzz.zzz
Content-type: text/html
Accept-encoding: gzip/deflate
User-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,[...]
<script>
alert(document.domain)
</script>
<script>
我们仍然得到反映的脚本。有什么建议如何阻止吗?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。