使用 modsecurity 保护 apache 免受 CSRF 攻击

使用 modsecurity 保护 apache 免受 CSRF 攻击

我在我的 ubuntu 16.04 中安装了 WAF modsecurity 并试图保护我的网站免受 CSRF 攻击。

一切正常,WAF 在 modsec-audit.log 中显示访问被拒绝,但它阻止我访问,并且我的网站的某些功能发生了更改。

为了激活 CSRF 规则,我在激活的规则下建立了一个符号modsecurity_crs_43_csrf_protection.conf链接modsecurity_crs_16_session_hijacking.conf

所以也许我需要添加一些配置。这是我的 modsec-audit.log 的结果

--e631b43a-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 339
Keep-Alive: timeout=5, max=15
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

--e631b43a-E--

相关内容