我最近在我的网络服务器中安装了 modsecurity。我的网站包含一些 3rd 方 cookie,例如 google analytics、adroller 等。Modsecurity 有时会阻止其中一些 cookie。
有没有办法为这些 3rd 方 cookie 禁用 modsecurity ? 我可以设置一个需要通过 modsecurity 检查的 cookie 列表吗?【问题讨论】:
标签: security mod-security
不幸的是,您通常只需要查看哪些规则标记,然后关闭这些规则或针对该特定参数关闭它们。这涉及将这样的配置添加到您的 Apache 配置中:
SecRuleUpdateTargetById 981172 !REQUEST_COOKIES:'/^__utm/'
这里所有命令的更多细节:https://github.com/SpiderLabs/ModSecurity/wiki/Reference-Manual
建议在 DetectionOnly 模式下运行一段时间以识别所有误报。
我不知道您需要根据您使用的软件进行的所有调整的大列表。设置它不是一个坏主意。
再一次,如果使用 Google 等通用软件更新规则,那就太好了。虽然没有什么可以阻止你(或我!)通过建议修复大多数人使用的免费核心规则集来自己做这件事:https://github.com/SpiderLabs/owasp-modsecurity-crs
【讨论】: