我在我的 ubuntu 16.04 中安装了 WAF modsecurity 并试图保护我的网站免受 CSRF 攻击。
一切正常,WAF 在 modsec-audit.log 中显示访问被拒绝,但它阻止我访问,并且我的网站的某些功能发生了更改。
为了激活 CSRF 规则,我在激活的规则下建立了一个符号modsecurity_crs_43_csrf_protection.conf
链接modsecurity_crs_16_session_hijacking.conf
。
所以也许我需要添加一些配置。这是我的 modsec-audit.log 的结果
--e631b43a-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 339
Keep-Alive: timeout=5, max=15
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
--e631b43a-E--