如何避免使用GET請求的XSS攻擊，並自動將IP地址的IP地址拒絕到IIS中的列表中？

Question

由於某些舊URL引發錯誤，我注意到我們某些網站上的一些XSS嘗試。即。 http://www.mysite.com/[some舊關鍵字]/searchterm。

這些網站是MVC3網站，並從我對使用防僞標記的理解 - 這僅適用於POST請求。

我不認爲我想限制所有請求的URL，因爲有些可能是有效的請求（即谷歌履帶）。

在這種情況下，有哪些方法可以避免/阻止XSS攻擊？

一旦我有了違規的IP地址，是否有辦法使用APPCMD將IP地址添加到IIS中的DENY列表中，類似於使用APPCMD的solution基於列表向IIS添加新網站？

我在問，因爲我注意到幾個IP地址在我們的幾個網站上嘗試跨站點腳本攻擊。我想創建這些列表（並可能從http://www.ipfraudreporter.com之類的地方讀取列表）並將它們加載到我們的服務器上。

Answer 1

阻塞XSS是一種輸出編碼問題，而不是大多數情況下的輸入問題。例如，如果僅允許字母數字字符，則可以使用非常嚴格的基於白名單的輸入驗證來停止該字符，但在大多數情況下，它會針對給定上下文正確編碼輸出。請參閱已廢棄的OWASP XSS預防備忘單。

關於禁止ips這聽起來，林不知道你有什麼可能的環境。可以將它們添加到防火牆或IP，或者編寫一個HttpModule來阻止對禁止的ips列表的傳入請求。