我运行一个小型webhosting服务( CPanel + ModSecurity ),我个人主持几个laravel项目。 我注意到,当我(或任何人)快速访问多个页面(一个接一个)时,在第六或第七次访问(redirect到/ )之后,某些时候我会收到Too Many Redirects错误,
经过一番研究之后,我注意到这是由于Cookie上的ModSecurity匹配造成的,匹配的时候,匹配的会话被locking在这个redirect循环中,直到手动清除了Cookie(对于该域)。 以下是ModSecurity日志的摘录,显示匹配和响应( Pastebin )。
我不明白为什么它与“有时”匹配(总是以用户身份login),以及如何防止它。 如果你们有一个想法…
感谢您的帮助
这是这个规则的一个已知的错误警报: https : //github.com/SpiderLabs/owasp-modsecurity-crs/issues/244
你可以通过在加载该规则的configuration( /usr/local/apache/conf/modsec_vendor_configs/ OWASP/rules/REQUEST-41-APPLICATION-ATTACK-XSS.conf )后将以下内容添加到你的configuration中来解决这个问题:
SecRuleUpdateTargetById 973337 !REQUEST_COOKIES:oph_session
另请注意,在最新版本的CRS中,此规则已更改为941120.您似乎正在使用旧版3.0.0 CRS的预发行版本。