如何应对XSS攻击

Question

我在OWASP和网络上看到了很多关于如何避免/防止XSS攻击的信息。然而，我还没有找到任何提到当XSS攻击被检测到时如何响应的东西。

应该返回什么HTTP状态代码(即400,403.)？您应该在屏幕上还是在console.log上提供错误消息？把它们重定向到另一页？

Answer 1

您应该发送HTTP 400 (坏请求)响应代码和最小错误消息，这足以使技术支持能够帮助合法用户，但不会向攻击者提供信息。

也记录请求。

一个合法的用户可能会输入一些他们不应该输入的信息，所以你不应该采取过于苛刻的措施。

一个真实的例子是Hibernate Validator的@SafeHtml验证，如果输入可能是XSS，它将导致400个状态代码。