WAF作为CSP、XSS保护等补偿/替代控制的有效性

Question

我想知道人们对WAF是否是一种完全可以接受的补偿/替代控制的想法，比如CSP，XSS保护等等。我知道WAF是用来抵御XSS等的，但是我一直在使用Mozilla天文台对站点进行评级，并想知道是否应该考虑到WAF在观测站考虑的范围。https://observatory.mozilla.org/analyze/secure.verizon.com

Answer 1

内容-安全性-策略是对浏览器的实际指导，说明站点应该如何运行，特别是在哪些地方可以加载潜在危险的内容，以及是否允许在该站点上执行内联脚本等潜在危险的操作。

WAF不能替代严格的内容-安全策略。WAF只将启发式应用于请求和响应，以便检测潜在的问题。这些启发式方法有多好取决于WAF对它应该保护的特定应用程序的优化程度，但它们通常不会像严格的内容安全策略那样好。

WAF永远无法防止在HTTP请求或响应中无法观察到的攻击，特别是只能在浏览器中运行的DOM XSS。然而，这样的事情可以通过严格的内容-安全策略来预防。

WAF可以在CSP无法帮助的情况下帮助保护攻击，比如SQL注入。不过，它只是基于启发式，而web应用程序本身的适当输入验证可能更正确，因为有更多关于“正确”含义的信息。

尽管如此，WAF在深度防御策略中仍然是一个很有价值的工具。但这不应被认为是终极的，也是唯一的防御。