我正在运行Snort IDS,其中一条规则与HTTP标头中<!--{1,200}-->字段中的Referer匹配。当我看到pcap时,似乎没有任何一致性。有时它看起来像HTML。在一个案例中有<!--SS_END_SNIPPET (2,17)-->(或类似的东西)。
我已经在这里搜索了Google,并且还没有找到解释这一点的任何内容,而我无法弄清楚目的是什么。
签名来了一套。如果我可以改进它以捕捉它应该寻找的东西,我想改变它。它会产生很多匹配。或者也许我想完全消除它。
这是什么目的,它与跨站点脚本有什么关系?