我已经安装了Owasp ModSecurity,之后我的应用程序上的所有页面都有此规则警报。
ModSecurity: Warning. Match of "eq 1" against "&ARGS:CSRF_TOKEN" required.
[file "/etc/modsecurity/activated_rules/modsecurity_crs_43_csrf_protection.conf"]
[line "31"]
[id "981143"]
[msg "CSRF Attack Detected - Missing CSRF Token."]
我还试图创建一个空白的php文件来检查,显示相同的规则警报 从这一点开始,我认为问题不再是代码级别了。
以下是modsecurity_crs_43_csrf_protection.conf
的源代码关于如何解决这个问题的任何想法?
答案 0 :(得分:0)
它正在检查您的应用程序,以确保您在所有页面上使用CRSF令牌。空白的php文件将无法通过此检查,因为您必须将令牌编码到表单中。
CRSF令牌用于验证来自网页表单的回发来自页面中的表单,而不是来自攻击者。维基百科上有更多相关信息:Cross-site request forgery
您的选择是: