阻塞反映了常见web服务器上的XSS

Question

如何能够在常见的web服务器(如IIS、和Nginx )上阻止反射XSS？

Content-Security-Policy: reflected-xss过滤器在最新版Chrome上不起作用和X-XSS-Protection 移除来自最新的Chrome。

问题是关于这些web服务器的设置，没有任何代码更改或WAF。

Answer 1

这些标头从不阻止web服务器上的XSS，而是指示浏览器使用启发式方法在客户端检测XSS。

在服务器端没有阻止反射XSS的神奇方法。并且没有“没有任何代码更改/ WAF"，至少如果您的应用程序是受反射XSS影响的。

可以使用启发式来筛选常见的XSS攻击，即使用WAF。更好的是，代码应该具有适当的输入验证和输出卫生条件，并且应该进行结构化，以便能够强制执行严格的内容-安全策略(特别是没有内联版)，然后服务器也会设置该策略。