我安装了Apache 2.4和mod_security 2.9.1,并且它正在运行,具有一些非常基本的规则。
我正在尝试发出一个包含一些标头信息的 POST 请求,但请求正文中没有任何内容(该请求是针对受mod_security保护的 API 端点,并且该端点需要没有请求正文的 POST)。不需要正文的 POST 是有效的,符合以下条件:PUT 和 POST 请求是否需要/预期具有请求正文?
mod_security 正在阻止请求,因为它似乎无法解析/格式化正文(可能是因为它不存在)。
我如何修改规则以允许没有正文的 POST,但如果正文确实存在,则照常运行。
正在触发的特定规则是:
SecRule REQBODY_ERROR "!@eq 0"
"id:'200002', phase:2,t:none,log,deny,status:415,msg:'Failed to parse request body.',logdata:'%{reqbody_error_msg}',severity:2"
错误是:
[Fri Jul 08 10:32:32.901230 2016] [:error] [pid 7697] [client 10.0.2.2:57442] [client 10.0.2.2] ModSecurity: JSON parser error: parse error: premature EOFn [hostname "example.com"] [uri "/api/v1/logout"] [unique_id "V377qH8AAQEAAB4RU6cAAAAD"]
[Fri Jul 08 10:32:32.901555 2016] [:error] [pid 7697] [client 10.0.2.2:57442] [client 10.0.2.2] ModSecurity: Access denied with code 415 (phase 2). Match of "eq 0" against "REQBODY_ERROR" required. [file "/etc/modsecurity/modsecurity.conf"] [line "61"] [id "200002"] [msg "Failed to parse request body."] [data "JSON parser error: parse error: premature EOF\x0a"] [severity "CRITICAL"] [hostname "example.com"] [uri "/api/v1/logout"] [unique_id "V377qH8AAQEAAB4RU6cAAAAD"]
或者,我是否应该简单地不发送Content-Type HTTP 标头以使mod_security解析正文(尽管我更愿意强制所有 POST 请求始终具有定义的Content-Type)?
我已经对正在使用的完整modsecurity.conf进行了简要介绍(这是一个基本示例,其中包含两个用于过滤内容类型的额外规则)。
您可以禁用正文长度为零的请求的正文访问:
SecRule REQUEST_BODY_LENGTH "@eq 0" "id:12345,phase:1,nolog,ctl:requestBodyAccess=off"
或者,如果您只想在某个 URL 上执行此操作,请使用如下所示的链式规则:
SecRule REQUEST_URI /my/weird/api "phase:1,id:12346,nolog,chain"
SecRule REQUEST_BODY_LENGTH "@eq 0" "ctl:requestBodyAccess=off"