Я пытаюсь исправить отраженную XSS-атаку, которая вводится в URL-адрес пути примерно так: http: /dev.app.com/Service/form //% 27% 7Calert (document.domain)% 7C% 27? Method = Init
Я попробовал XSSFilter с ESAPI (для кодирования), который частично решил проблему.Я хотел бы знать, можем ли мы предотвратить атаку с помощью конфигурации Tomcat relaxedPathChars = '[]'.
Я попытался настроить relaxedPathChars = '[]', но не повезло, я запускаю это на Tomcat 7.0.56
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" relaxedQueryChars='[]^' relaxedPathChars='[|]'/>
(приложение работает только по протоколу AJP)