在使用nginx上lua开源WAF的时候,网站需要做HTTP跳转HTTPS,正常情况waf可以拦截,如图
配置HTTP跳转HTTPS
if ($server_port = 80) {
return 301 https://$host$request_uri;
}
配置HTTP跳转HTTPS后,如图
使用curl -L可以拦截
curl -L http://opcache.cn/?aaa=select%20*%20from%20sfsdf;
如果不使用curl -L会出现301 Moved Permanently,这样的lua waf 对CC攻击应该就无效了
再使用阿里云SLB来验证下,HTTP:80重定向至 HTTPS: 443也会出现302 Found
如果不使用curl -L会出现302 Found,这样的lua waf 对CC攻击应该就无效了
