XSS Threat Protection

Este interceptor tiene la función de proteger las llamadas de scripts maliciosos que se pueden inyectar en los elementos (body, _headers, segmentos de URL o query params) presentes en las peticiones y respuestas generadas por las operaciones de su API.

El interceptor se puede configurar con un conjunto de expresiones regulares, capaces de identificar patrones de script que realizan ataques XSS y, por lo tanto, evitar que la llamada se complete si se identifica un script malicioso en su contenido.

Configuración del interceptor

Al utilizar XSS Threat Protection por primera vez, el usuario verá que ya viene configurado con un conjunto de expresiones regulares estándar, y estas expresiones ya están ubicadas en las cuatro ubicaciones clave donde puede producirse una inyección de script: URI_PATH, QUERY_PARAM, HEADER y BODY.

xss modal

El interceptor se puede guardar con esta configuración o, si es necesario, se pueden introducir otras expresiones.

Puede agregar el interceptor tanto en el flujo de request como en el flujo de response.

Funcionamiento del interceptor

Durante la ejecución, el interceptor comprueba y ejecuta cualquier expresión regular que se guarda. Si una expresión regular guardada encuentra algún patrón de script malicioso, el interceptor bloqueará la ejecución del flujo — ya sea en la petición o en la respuesta — y se generarán dos líneas de log en el General Trace, indicando qué expresión se ejecutó.

Thanks for your feedback!
EDIT

Share your suggestions with us!
Click here and then [+ Submit idea]