我在Tomcat 9容器(Debian 10.8)上有一個JEE服務。在它前面有一個Apache Web服務器 mod_proxy_ajp.
。在我的VH中,我沒有任何針對/manager/html背景關系的ProxyPass規則,但如果在Web客戶端上,我重寫我的URL,加入/...;/manager/html(例如:。https://www.example.org/site/...;/manager/html),Tomcat管理器就會要求輸入crediatials。
有什么技巧可以避免這種情況嗎?也許使用modsecurity? 謝謝。
uj5u.com熱心網友回復:
我使用mod_security規則解決了這個問題:
我使用mod_security規則解決了這個問題。
SecRule REQUEST_URI "@rx ...;/" "phase:1,severity:'CRITICAL', deny,id:129"
它起作用了。
uj5u.com熱心網友回復:
由于路徑引數只在Tomcat中用于會話跟蹤(作為cookies的替代品),你可以安全地在Apache2中從...路徑段中洗掉它們 :
RewriteEngine on
RewriteRule ^(.*)/...; [^/]*(.*)$ 1/...$ [N]
另外,你可以完全洗掉它們:
RewriteEngine on
RewriteRule ^(.*); [^/]*(.*)$ 1$2 [N] 。
并在$CATALINA_BASE/conf/web.xml中配置Tomcat僅使用cookies進行會話跟蹤:
<session-config>
...
<tracking-mode>COOKIE</tracking-mode>
</session-config>/span>
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/319429.html
標籤:
上一篇:當在Tomcat內運行Camel應用程式時,我在CamelServlet實作上得到一個ClassCastException。