问题描述
可以在 REST API 上发生反射型 XSS(跨站点脚本)攻击,该 API 接受 XML 请求有效负载,提供 XML 响应。请求或响应中没有 html 内容。
我已经阅读了很多关于 XSS 的文档,现在我认为这不适用于不提供 html 内容的 REST API,这种理解是否正确? 然而,我们正在对收到的请求进行验证,以检查输入中是否有任何类型的标签 (),以及其他一些业务级别的验证。
关于我们服务的几点,
- 我们的 REST API 不会接收或响应 HTML 数据。
- 我们不会直接从最终用户那里获得任何输入或请求 (攻击者的可能性主要来自恶意的最终用户)
- 我们不会直接向最终用户发送 XML 响应/HTML 呈现 XSS 几率最高的系统(浏览器)。
- 我们接受请求并将响应传递给我们的内部服务 企业和值得信赖的(合作伙伴)。
- 我们发送的 XML 响应仅用于读取嵌入在 非 html 环境(这些是读取我们响应的受信任服务)。
这种情况下发生 XSS 的风险有多大?
(此查询背后的原因是我们收到了 checkmarx 高严重性错误,其中表明我们很容易发生反射型 XSS,我认为在我们的案例中这可能是误报。我们正在使用 Spring Boot 应用程序.)
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)