ASP.Net 1.1通过配置不起作用防止无Cookie会话XSS攻击

如何解决ASP.Net 1.1通过配置不起作用防止无Cookie会话XSS攻击

我的任务是修复一个XSS漏洞，该漏洞利用 ASP.Net 1.1 中的无cookie会话功能。可以这样进行攻击：

https://example.com/AnyPageInTheApplication.aspx/(A('onerror='alert%601%60'testabcd))/

到目前为止，我已经在web.config文件中尝试了以下值：

<pages validateRequest="true" ....

<sessionState cookieless="false" ....

<sessionState cookieless="UseCookies" ...

使用上述示例，一旦我导航到任何页面，都没有阻止显示警报。

更新：如果我在Chrome开发工具的“网络”标签中查看，该应用程序会将URL的最后一部分视为资源，因为该URL在呼叫中被列为文档，状态为200。

任何阻止使用此技术执行JS代码的帮助将不胜感激。

谢谢。

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。