Как избежать XSS-атак с помощью запросов GET и автоматизировать нарушающие IP-адреса в списке запрещенных IP-адресов в IIS?

Question

Я заметил некоторые попытки XSS на некоторых наших сайтах из-за того, что некоторые старые URL-адреса приводили к ошибкам. то есть. http://www.mysite.com/[some старое ключевое слово] / searchterm.

Эти сайты являются сайтами MVC3, и, насколько я понимаю, использование токена защиты от подделки - это хорошо только для запросов POST.

Не думаю, что я хочу ограничивать все запросы URL-адресами, поскольку некоторые из них могут быть действительными (например, GoogleCrawler).

Какими способами можно избежать / предотвратить атаки XSS в этом сценарии?

Как только у меня появятся неправильные IP-адреса, есть ли способ использовать APPCMD для добавления IP-адресов в список DENY в IIS, аналогично решению , использующему APPCMD для добавления новых веб-сайтов в IIS на основе список

Я спрашиваю, потому что замечаю несколько IP-адресов, пытающихся атаковать межсайтовый скриптинг на нескольких наших сайтах. Я хотел бы создать список из них (и, возможно, прочитать список где-то вроде http://www.ipfraudreporter.com) и загрузить их на наш сервер.

Answer 1

Блокировка XSS - это проблема выходного кодирования, а не проблема ввода в большинстве случаев.Например, если вы разрешаете только буквенно-цифровые символы, вы можете остановить его, используя очень строгую проверку ввода на основе белого списка, но в большинстве случаев речь идет о правильном кодировании вывода для данного контекста.См. Краткую инструкцию по профилактике Abriged OWASP XSS.

Что касается запрета ips, это звучит, я не уверен, что возможно в вашей среде.Может быть добавление их в брандмауэр или IP-адрес, или написание HttpModule, который блокирует входящие запросы на список запрещенных ips.