反射XSS监测

Question

关于如何避免或检测XSS，有很多信息，但我找不到多少关于如何监视反射XSS的信息。是否有一种方法可以自动检测应用程序日志中反射的XSS？我的猜测是，我们可以在日志上运行一个解析器，并发出所有可能反映的XSS攻击的信号。已经有图书馆这样做了吗？

Answer 1

有一些手动方法和工具来分析您的日志(参见这里)；但是列出工具本身在这里将是一个不讨论的话题。

这些方法的问题在于，您不是在监视暗示性的XSS攻击，而是监视尝试。这对于了解攻击者如何攻击您的应用程序也很有用，但是自动扫描程序会产生大量的噪音，等等。

但这似乎并不是你想要的。如果您确实希望监视XSS攻击的成功，您可能需要考虑使用CSP的报告功能。您也可以将它作为只提交报告使用，而不会对应用程序的可用性产生负面影响。