2
我們服務器上的Apache配置爲阻止字節範圍(CVE 2011-3192)。但它使我們有我們的服務器不玩如Safari的新版本上和Chrome要求他們以字節爲單位,但服務器會將整個內容的音頻。Apache字節範圍和音頻文件
任何指針讚賞。
我們服務器上的Apache配置爲阻止字節範圍(CVE 2011-3192)。但它使我們有我們的服務器不玩如Safari的新版本上和Chrome要求他們以字節爲單位,但服務器會將整個內容的音頻。Apache字節範圍和音頻文件
任何指針讚賞。
與其完全阻止Range標頭,您可以嘗試設置apache以僅在發出太多請求時阻止範圍標頭。來自Apache Wiki:
使用SetEnvIf或mod_rewrite檢測大量範圍,然後 忽略Range:標頭或拒絕請求。
選項1:(Apache 2.2的,需要mod_setenvif mod_headers中和)
# Drop the Range header when more than 5 ranges.
# CVE-2011-3192
SetEnvIf Range (?:,.*?){5,5} bad-range=1
RequestHeader unset Range env=bad-range
# We always drop Request-Range; as this is a legacy
# dating back to MSIE3 and Netscape 2 and 3.
#
RequestHeader unset Request-Range
# optional logging.
CustomLog logs/range-CVE-2011-3192.log common env=bad-range
數字5是任意的。幾個10的不應該是一個問題,可能需要針對例如服務PDF文件到非常高端的電子閱讀器 或使用的東西,這種複雜的基於HTTP視頻流媒體網站 。