XSS Threat Protection

Este interceptor tem a função de proteger as chamadas contra scripts maliciosos que possam ser injetados nos elementos (corpo, headers, segmentos da URL ou query params) presentes nas requisições e respostas geradas pelas operações da sua API.

O interceptor pode ser configurado com um conjunto de expressões regulares, capazes de identificar padrões de scripts que realizam ataques XSS e, assim, impedir que a chamada seja completada caso um script malicioso seja identificado em seu conteúdo.

Configurando o interceptor

Ao usar o XSS Threat Protection pela primeira vez, o usuário verá que ele já vem configurado com um conjunto de expressões regulares padrão, e essas expressões já estão posicionadas nos quatro locais-chave onde uma injeção de script pode ocorrer: URI_PATH, QUERY_PARAM, HEADER e BODY.

xss modal

O interceptor pode ser salvo com essa configuração ou, caso necessário, outras expressões podem ser inseridas.

É possível adicionar o interceptor tanto no fluxo de requisição quanto no de resposta.

Funcionamento do interceptor

Durante a execução, o interceptor fará uma checagem e executará todas as expressões regulares que forem salvas. Caso algum padrão de script malicioso for encontrado por alguma expressão regular salva, o interceptor vai barrar a execução do fluxo — seja na requisição ou na resposta — e serão geradas duas linhas de log no General Trace, indicando qual expressão foi executada.

Thanks for your feedback!
EDIT
How useful was this article to you?