我们最近完成了一次安全扫描,结果发现我们的应用程序很容易通过 ResolveUrl 无 cookie 状态问题受到 XSS described here .
现在我正在寻找一种方法来为我们的应用程序以全局方式正确解决该问题。不使用 ResolveUrl 并不是一个真正的选择,因为我们确实在 1000 多个地方使用了它。我觉得奇怪的是,在 ASP.NET(据我所知)中没有办法完全禁用 cookieless 状态 url 解析,因为我们没有使用 cookieless 状态。
我尝试在 BeginRequest 中实现检查,以删除 URL 中具有以 (.( (. begin any字符)。这会起作用,因为我们应用程序中的实际 url 不具有以此开头的路径段。但是,问题是,我们可以从请求中读取的 url 不再具有此路径段。似乎在我们的代码开始执行之前被运行时过滤掉。
我还有什么其他选择?
最佳答案
最终,我使用 UrlRewrite 模块制定了一条规则,简单地使用与我原来的问题中相同的正则表达式来阻止所有请求。该模块在 .net 从请求 url 中删除 cookieless session id 之前运行,因此我可以阻止该请求
关于asp.net - ResolveUrl XSS 问题的全局解决方案,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/62916469/