AWS WAF XSS检查表单字段值中包含"ON“关键字的表单

Question

在表单字段中以"on“或任何以”on“开头的单词发布表单，导致此规则正文阻止来自aws waf的XSS阻止后，在解码为URL后包含跨站脚本威胁，例如，”aws“、”online“或"check on”XSS阻止中的所有结果

这些似乎是正常的单词，为什么它在xss上被阻止了？

但是在末尾有空格，它不会阻止，例如“20 only”、“online”或"check on“这些作品

Answer 1

您可以尝试升级到WAFv2，但是“+"&”上“字符的某些组合仍然可能导致误报。导致该问题的规则是使用URL解码的XSS on body。因此，如果您的formdata是使用url编码提交的，您可能会遇到问题。如果您以JSON数据或使用MIME multipart/ form -data提交表单，它应该可以工作。我有两个应用程序，一个使用fetch api的javascript XHR提交formdata，它使用multipart/form-data，另一个使用JSON数据没有被阻塞。

否则，您必须调整您的XSS规则或将该特定规则设置为count。我不会张贴如何调整，以免有人潜伏在这里，试图搞笑。

添加空格的建议也适用，后端可以删除空格或保持原样。有点烦人，但很管用。

Answer 2

我们昨晚刚刚开始使用WAF，一夜之间，几十个合法的请求被屏蔽了。

毫无疑问，每个XSS规则在请求正文中都有字符串"on“，后跟其他字符。

我想知道它是不是在尝试检测数百个左右的onerror、onload和其他javascript事件？感觉它可以比匹配on后跟“一些东西”具体得多……

这里唯一的解决方案似乎是为我们禁用这个规则-否则它将是我们不断产生假阳性的来源，这使得它一文不值。