问题描述
我们正在尝试配置我们的datapower xi50,以保护登录页面免于反射性xss注入。 我们通过名称-值区域启用了保护,将xi50配置为使用此设置,但是当我们尝试通过此请求通过w3af对其进行测试时:
POST http://yyyyyyy.yyy.yyy/j_xxxxxxx
Host: www.zzzzzzz.zzz
Content-type: text/html
Accept-encoding: gzip/deflate
User-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML,[...]
<script>
alert(document.domain)
</script>
<script>
我们仍然得到反映的脚本。有什么建议如何阻止吗?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)