Q&A
素直に考えたらファイル名とかパスだけでなく、送っているデータの全量に対してチェックがかかるはずです。
WAFにブロックされたリクエストの中身をログからより詳細に調べてみてはどうでしょうか。
前提
これまでイントラ内で運用していたWebシステムをAWS上に持っていくとこのことで挙動を見ています。
ファイルをアップロードする処理を実行した際に、AWS WAFの検知ルールに引っかかっており対応が必要な状態です。
クライアント側でファイルをアップロードする処理でのXSS対策はどの様な実装になるのかご教授頂きたいです。
■対象ルール
CrossSiteScripting_BODY
実現したいこと
ファイルのアップロードを行いたい。
該当のソースコード
js
1var xhr = new XMLHttpRequest(); 2var form = document.getElementById('uploadFile'); 3var formData = new FormData(form); 4formData.append('fileName', document.getElementById('fileName').value); 5formData.append('filePath', document.getElementById('filePath').value); 6xhr.open('POST', 'サーバー側のURL', true); 7xhr.send(formData);
試したこと
正常にアップロードできるファイルと、できないファイルがあります。
そもそもリクエストがAWS WAFによってサーバー側の処理まで届いて居ないようなので
クライアント側で何かしらする必要があると思っており
調べてみるとサニタイズが必要とのことですが、fileName, filePathのサニタイズでは解決せず。
uploadFile自体をサニタイズ?するのかいまいちよくわかってないです。
追記
WAF側のログを確認したところ、以下の問題があるとのことでした
リクエストボディに格納されているファイルのメタ情報が引っかかるようですがこの場合はどのような対応が必要となるのでしょうか。
json
1 "terminatingRuleMatchDetails": [ 2 { 3 "conditionType": "XSS", 4 "location": "BODY", 5 "matchedData": ["xmlns:x", "adobe:ns:meta/"] 6 } 7 ],
回答2件
0
調べるとAWSのBlogに下記のようなものがあります。
AWS WAF によってブロックされているファイルをアップロードするにはどうすればよいですか?
結局の所、セキュリティを損ねないレベルで個別に除外するしかないと思います。
具体的な方法は要件に照らし合わせて考えてみてください。
投稿2022/11/23 08:50
総合スコア7579
0
自己解決
今回はAWS WAF側のブロックルールを変更し対応を行いました。
プログラムにて対応を行う場合については以下の様な方法があるそうで
参考:AWS WAF Getting 403 forbidden error while trying to upload an image
ファイルを読み込んだメタデータを含むBlobはJavascript側で変更ができない仕様なので
base64変換した文字列として送る形になるようでした。
Blobの分割はできるみたいですが
分割対象の位置が対象の部分でない場合には意味がなさそうなので今回は深掘りしていません。
投稿2022/11/24 01:40
編集2022/11/24 01:41
総合スコア8
あなたの回答
tips
プレビュー
