我正在调查ModSecurity以防止对我们的Web应用程序进行XSS攻击,这是一个针对Apache的WAF,但我对如何安装非常困惑,因为它需要Apache httpd,但我目前使用的服务器是Apache Tomcat v.8并且ModSecurity的先决条件是拥有Apache 2.x或更高版本。是否有针对Apache Tomcat的WAF,或者我应该将Apache 2.x与我的Apache Tomcat v.8服务器集成,Apache 2.x与我的Apache Tomcat服务器有什么区别?
答案 0 :(得分:0)
Apache(非tomcat)是'只是'一个HTTP服务器,用C编写,与java无关,这通常被称为'apache'。 Tomcat或'Apache Tomcat'是Java Web应用程序的Servlet容器和http服务器。 要将mod_security与Tomcat一起使用,您可能希望在tomcat之前安装apache作为反向代理。 配置mod_security(并处理误报)可能非常困难......而且,即使是好的,标准规则集也不是针对XSS(或sql注入等)的最后一个词。 我建议在Tomcat中避免使用XXS是在动态HTML页面中对HTML,HTML属性,Javascript等应用正确的编码。 您可以使用像ESAPI这样的库来实现这一目标:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 另一种方法是使用ThymeLeaf作为表示引擎而不是JSP。这将自动为您输出编码,对XXS更有效。