我在Linux 6.6上通過Apache 2.4.18配置了SVN。接下來,我必須爲我的svn url禁用跨幀腳本。 SVN網址就像https://servername/svn/projectA。我已經編譯mod_security2.so並複製到/ modules目錄下,然後在virtualHost中加載下面的行。如何在Apache中爲svn屏蔽跨幀腳本
LoadFile /usr/lib64/libxml2.so
LoadFile /usr/lib64/liblua-5.1.so
LoadModule security2_module modules/mod_security2.so
httpd-vhosts.conf
<VirtualHost *:80>
ServerAdmin [email protected]
DocumentRoot "/var/local/apache/httpd2.4.18/htdocs"
ServerName servername.fqdn.com
# For http to https redirect
Redirect/https://servername
TraceEnable off
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
SecRuleEngine On
#SecFilterEngine On
#SecFilterForceByteRange 32 126
#SecFilterScanPOST On
#SecFilter "<(|\n)*script"
SecRequestBodyAccess On
SecResponseBodyAccess On
ErrorLog "logs/error_log"
CustomLog "logs/access_log" common
</VirtualHost>
,不是支持的Apache的規則
SecFilterEngine SecFilterForceByteRange SecFilterScanPOST 所以SecFilter 大段引用
相反SecFilterEngine的,其採取SecRuleEngine。但我不知道其他規則的替代規則。我正在使用modsecurity-2.9.0源碼編譯。我看到的錯誤在下面。 [root @ server extra]#/var/local/apache/httpd2.4.18/bin/apachectl configtest AH00526:/var/local/apache/httpd2.4.18/conf/extra/httpd-vhosts第45行的語法錯誤。 conf: 命令'SecFilterForceByteRange'無效,可能是拼寫錯誤或由未包含在服務器配置中的模塊定義的。任何人都知道SecFilterForceByteRange,SecFilterScanPOST和SecFilter支持的mod_security2模塊。我還閱讀了有關mod_security的文檔,但無法弄清楚並解決問題。我跟着下面的網址。
http://www.unixpearls.com/how-to-block-xss-vulnerability-cross-site-scripting-in-apache-2-2-x/
[編輯] 其通過將標頭響應解決。
你可以完成這個只配置mod_headers https://www.namhuy.net/3154/secure-apache-http-web-server.html –
@Jaoao - 在響應標題中,我看到X-Frame-Options爲SAMEORIGIN。這是正確的嗎?你知道在apache命令行中測試這個功能的選項嗎?我認爲你解決了這個問題。 – arunp
看看這個幫助https://www.owasp.org/index.php/Testing_for_Clickjacking_(OTG-CLIENT-009) –