Если mod_security включен для всего веб-сайта, есть ли способ установить для определенных страниц только обнаружение?
Вариант использования заключается в том, что приложение используется для настройки веб-сайтов, и использование CSS или js очень распространено, но очень вероятно, что modsecurity выдаст исключение из правила XSS. Я хотел бы обнаруживать эти исключения, но не блокировать их только на этих страницах. Однако на всех других страницах я хочу, чтобы исключения правил блокировались.
Более подробная информация: приложение на самом деле является приложением IIS, работающим на другом сервере Windows, в то время как mod_security работает в Apache на сервере Linux. haproxy направляет входящие запросы на apache, а apache принимает запрос через modsecurity; если он проходит, он обратно проксирует его обратно в haproxy, который затем передает его в IIS.
== incoming request ==> haproxy ==> apache
v
mod_security
v
IIS machine <== haproxy <== mod_proxy
(да, есть веская причина для использования haproxy. У нас есть сотни https-сертификатов, и мы можем указать haproxy на полную их папку, и он выберет правильный на основе запроса https SNI. нашел что-нибудь еще, что может сделать это.)
Таким образом, на стороне apache нет каталога, в котором файл .htaccess имел бы смысл, по крайней мере, на мой крошечный ум.
Пути, которые должны рассматриваться как DetectionOnly, будут соответствовать хосту admin.mysite.com
и пути ^/site/[a-zA-Z0-9-]+/Settings$
.