ModSecurity針對XSS類型0攻擊和影響的保護

Question

基於DOM的（類型0）XSS不需要向服務器發送惡意代碼，因此他們也可以使用靜態HTML頁面作爲攻擊媒介。這裏的虛擬攻擊的字符串的一個例子是以下幾點：

http://www.xssed.edu/home.html#<script>alert("XSS")</script> 

我熟悉那個了ModSecurity提供了PDF文件對XSS攻擊的保護，這被認爲是0型攻擊，但我的問題是，如果ModSecurity的一般不會防止對這種類型的XSS以及您認爲這種漏洞的影響是什麼。

Answer 1

每個Web應用程序防火牆都在使用攻擊特徵。類型0的XSS與反射的XSS產生相同的簽名，所以這可能會被任何WAF阻止。由於服務器站點代碼漏洞，不會發生0類XSS，但在頁面加載過程中請求明顯到達服務器。 可能會阻止WAF阻止這種攻擊的唯一問題是該文件的擴展，但我相信在您的示例中，這可能會被阻止。