nginx上配置301和302跳转lua-waf失效分析

在使用nginx上lua开源WAF的时候,网站需要做HTTP跳转HTTPS,正常情况waf可以拦截,如图

nginx上配置301和302跳转lua-waf失效分析

配置HTTP跳转HTTPS

if ($server_port = 80) {
return 301 https://$host$request_uri;
}

配置HTTP跳转HTTPS后,如图
nginx上配置301和302跳转lua-waf失效分析

使用curl -L可以拦截

curl -L http://opcache.cn/?aaa=select%20*%20from%20sfsdf;

如果不使用curl -L会出现301 Moved Permanently,这样的lua waf 对CC攻击应该就无效了

再使用阿里云SLB来验证下,HTTP:80重定向至 HTTPS: 443也会出现302 Found

nginx上配置301和302跳转lua-waf失效分析

如果不使用curl -L会出现302 Found,这样的lua waf 对CC攻击应该就无效了

给TA打赏
共{{data.count}}人
人已打赏
数据库配置管理

MySQL镜像自定义MySQL 配置文件

2021-7-4 18:55:12

其他工具

nginx配置HTTP强制HTTPS参考

2021-5-14 14:52:42

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索