Я заметил некоторые попытки XSS на некоторых из наших сайтов из-за того, что некоторые старые URL вызывали ошибки. т.е. http://www.mysite.com/[some старое ключевое слово]/searchterm .
Эти сайты являются сайтами MVC3, и, насколько я понимаю, использование токена защиты от подделки подходит только для запросов POST.
Я не думаю, что хочу ограничивать все запросы URL-адресами, поскольку некоторые из них могут быть действительными запросами (например, GoogleCrawler).
Какие есть способы избежать/предотвратить XSS-атаки в этом сценарии?
Если у меня есть IP-адреса-нарушители, есть ли способ использовать APPCMD для добавления IP-адресов в список DENY в IIS, аналогичный решение с использованием APPCMD для добавления новых веб-сайтов в IIS на основе списка?
Я спрашиваю, потому что замечаю несколько IP-адресов, пытающихся атаковать межсайтовые скрипты на нескольких наших сайтах. Я хотел бы создать их список (и, возможно, прочитать список откуда-нибудь, например http://www.ipfraudreporter.com) и загрузите их на наш сервер.
