【发布时间】:2019-07-15 12:34:42
【问题描述】:
我用:
数据库:SQL Server
服务器:MVC5 / C# / .NET 4.7
防火墙:Cloudflare WAF
客户端:HTML、CSS、Javascriptm JQuery。
我将 Cloudflare WAF 用于我的应用程序,它接受富文本编辑字段中的 HTML 元素。我使用 CKEditor 来启用这些编辑字段。但是,我发现大部分粘贴的 HTML 文本都触发了 WAF OWASP 规则,并且在许多情况下是误报。
可以在客户端对字符串进行 Base-64 编码,但这可能会掩盖来自 WAF 的躲闪字符串。例如,当解码回浏览器时仍会运行。
处理这个问题的好方法是什么?我唯一的其他想法是
a) 只允许限制性的纯文本。
b) 使用某种形式的客户端清理实用程序在上传文本之前对其进行清理,以删除任何狡猾的代码。
我欢迎一些最佳实践建议和任何我可以进一步研究的工具。
【问题讨论】:
标签: javascript asp.net-mvc-5 cloudflare ckeditor4.x