Han pasado algunos años desde que me deshice de modsecurity ...
¿La simple instalación del paquete con las reglas predeterminadas proporcionará suficiente validación para evitar cualquier tipo de XSS (bueno, seamos honestos, lo mejor que podemos esperar de XSS)? Mi suposición es no ... e incluso si consideramos solo el Tipo I - XSS reflejado.
¿Qué pasa con el Conjunto de reglas principales ? ¿Es eso suficiente para pruebas XSS?
De no ser así, ¿qué tipo de reglas faltan y qué debo buscar para agregar / personalizar, quizás por página? (uggh ...)
Última parte de la pregunta, ¿qué pasa con las aplicaciones pesadas de AJAX? ¿Cómo gestiona ModSecurity, y en particular el CRS, las solicitudes AJAX sin bloquearlas? Supongo que esperar que realmente logre analizar el AJAX y validar cada parámetro por separado sería también mucho para esperar ...
Para aclarar, corregir el código para eliminar todos los XSS, incluida la validación de entrada y especialmente la codificación de salida contextual, es por supuesto la mejor manera de hacerlo, y realmente la única solución a largo plazo.
Sin embargo, estaba buscando una "solución rápida" temporal, para colocar algo en su lugar para proteger la aplicación por ahora , mientras ellos arreglan el XSS en el código y buscan más ... .