我有一个Domino站点,在应用程序扫描时越来越多的跨站点脚本。
我们没有运行appscan的许可。另一组需要这样做(是的大公司:))。但我注意到IE浏览器也会因为这样的网址而抱怨:
http://myserver.com/cld/cldg.nsf/vwTOC?OpenView&Start=28 (即会用这样的网址警告你使用crosssite脚本)。
我注意到当我尝试注入脚本标记时,notes.net论坛网站在IE中没有出现这样的错误。我想它必须在呈现页面之前擦除网址?这是如何在notes.net论坛中完成的?它是在服务器级别还是在数据库级别完成的?
我确实找到了这个帖子
How to avoid a XSP/Domino Cross-Site Scripting Vulnerability?
史蒂夫提到他的博客和网络规则,但博客提到他们在8.5.4中不需要它们。以上。我明白了吗?如果是这样,我们是8.5.4。我还需要做些什么来擦洗我的网址?编辑:我们是8.5.3。不是8.5.4。我误解了。我们的管理员将尝试Steves的建议