由于我们的 PCI 合规性测试人员最近对扫描进行了升级,导致我们最近未通过 PCI 检查,建议的解决方案如下:
配置 HTTP 服务器以便为 403(禁止访问)和 404(页面未找到)响应指定相同的错误文档。
我们的主要站点正在运行 drupal 安装,并且 drupal .htaccess 文件具有以下条目:
# Make Drupal handle any 404 errors.
ErrorDocument 404 /index.php
为了纠正上述问题,只需添加以下内容即可:
ErrorDocument 403 /index.php
或者我需要做一些更复杂的事情?
答案1
我只需将 /admin/config/system/site-information 中的 403 和 404 错误页面设置为同一页面/节点。
默认情况下,除非您已经修改了 .htaccess 文件,否则 Drupal 已在处理您的错误页面。更改 .htaccess 文件的缺点是,每次更新 Drupal 时,您都必须小心地保存更改。