XSSを防ぐためのhtmlページ（jspではない）からのサーバー側出力エンコーディング

Question

私は、未検証のURLに起因する反射XSS脆弱性を持つアプリケーションを持っています。私は、クライアント側で少なくとも1つの出力エンコーディングを提供したいと考えています。私はhtmlとjsにあるフロントエンドページだけを変更するアクセス権を持っています。バックエンドのアプリケーションコードにアクセスできないため、サーバー側でUrlEncoder.encodeを使用することはできません。 私の質問は、クライアント側のフォームからサーバー側のエンコーディングを呼び出す方法です。私は、JSPに知っ 私は < @pageインポート= org.owaps.esapiを書くことができます。* するvar URL = <% = Esapi.Encoderr.encodetoUrl（vulnerableUrl）=％>

しかし、私のWebページは、JSPれていないので、 、html + js、どうすればサーバー側のエンコーディング関数を呼び出すことができますか？

Answer 1

あなたが提供した情報があれば、私はいいえと言いますが、それはおそらく不可能です。

のは、あなたが追加しましょう： document.forms [0] .redirect.value = encodeURI（malcious URL）

今、攻撃者が一緒に来て、で送信します。

"); alert("xss") 

を、問題があることです悪意のあるデータは、クライアントスクリプトの実行時にすでにページに表示されており、既にページのレイアウトやコンテキストが変更されています。

mod_securityのようなWAFを使用してアプリケーションに入る可能性のある値を制限し、それをクライアント側で修正しようとすると、これを修正するより良いチャンスがあると思います。実際に問題のサーバー側を修正するのが最善の方法です。