我使用:
DB:SQL Server伺服器:MVC5 / C#/。NET 4.7防火墙:Cloudflare WAF客户端:HTML,CSS,Javascriptm JQuery。
我将Cloudflare WAF用于我的应用程序,该应用程序在RTF编辑字段中接受HTML元素。我使用CKEditor启用这些编辑字段。但是,我发现很多粘贴的HTML文本正在触发WAF OWASP规则,并且在许多情况下是误报。
[Base-64可以在客户端对字符串进行编码,但这可能会掩盖WAF中的躲避字符串。例如,解码回浏览器后仍将运行。
解决此问题的最佳方法是什么?我仅有的其他想法是
a)仅允许使用纯文本进行限制。b)在上载文本之前,使用某种形式的客户端清理实用工具对文本进行清理以删除任何躲避代码。
我欢迎一些最佳实践建议以及可以进一步研究的任何工具。
在WAF之前对数据进行编码,而在数据库插入实际上绕过WAF之前对其进行解码,将其禁用将是相同的。
[现在,如果您要处理的是html,则可以对其进行html_encode。支付时这不会产生任何影响,但这可能意味着您必须先对其进行解码,然后才能在用户输入中使用它,否则在提交时可能会遇到嵌套的html_encoding。
由于我不确定解决此问题的最佳方法,因此,我也在寻找有关如何允许免费用户输入而不会错误触发WAF的最佳实践。如果有人找到了,请分享。