【发布时间】:2017-08-10 20:54:25
【问题描述】:
我需要避免在我的基于 Web 应用程序上的内容欺骗或用户输入注入。现在如果我访问一个不存在的文件或 URL,我会看到我的自定义 404 页面,但如果我访问一个存在的文件但添加如下附加参数:
http://example.com/crossdomain.xml/%20is%20not%20available.%20Go%20to%20www.otherpage.com
我看到了 apache 的默认 404 页面,其中注入了内容,而不是我的自定义 404 页面,如下图所示
如何设置 apache 来处理这个问题?
【问题讨论】:
-
不知道能不能这样。但问题是为什么?这只会影响使用此类 URL 的访问者。是客户端。例如,它与 Greasemonkey 相同。我可以将额外的客户端 Javascript 注入网站。但这只会影响我。它不会影响其他任何人。
-
我被告知这可能会带来内容欺骗安全风险,因此必须修复它。过去我使用 AllowEncodedSlashes On 来解决类似的问题,但这次没有帮助