Я запускаю небольшую службу веб-хостинга (CPanel
+ ModSecurity
) и я лично принимаю несколько laravel
проекты на нем. Я заметил, что когда я (или кто-либо) быстро посещаю несколько страниц (одну за другой), в какой-то момент я получаю Too Many Redirects
ошибка после 6-го или 7-го посещения (перенаправлено на /
)
После небольшого исследования я заметил, что это связано с ModSecurity
совпадают с файлом cookie, и когда он совпадает, соответствующий сеанс блокируется в этом цикле перенаправления до тех пор, пока файлы cookie не будут очищены вручную (для этого домена). Вот выдержка из ModSecurity
журналы, показывающие совпадение и ответ (Pastebin).
Я не понимаю, почему он соответствует «иногда» (всегда при входе в систему как пользователь) и как это предотвратить. Если у вас есть идея ...
Спасибо за помощь
Это известное ложное предупреждение для этого правила: https://github.com/SpiderLabs/owasp-modsecurity-crs/issues/244
Вы можете исправить это, добавив следующее в свою конфигурацию после конфигурации, которая загружает это правило (/usr/local/apache/conf/modsec_vendor_configs/
OWASP/rules/REQUEST-41-APPLICATION-ATTACK-XSS.conf
):
SecRuleUpdateTargetById 973337 !REQUEST_COOKIES:oph_session
Также обратите внимание, что в последней версии CRS это правило было изменено на 941120. Похоже, вы используете старую предварительную версию 3.0.0 CRS.