nginx上配置301和302跳转lua-waf失效分析

在使用nginx上lua开源WAF的时候,网站需要做HTTP跳转HTTPS,正常情况waf可以拦截,如图

配置HTTP跳转HTTPS

if ($server_port = 80) {
return 301 https://$host$request_uri;
}

配置HTTP跳转HTTPS后,如图

使用curl -L可以拦截

curl -L http://opcache.cn/?aaa=select%20*%20from%20sfsdf;

如果不使用curl -L会出现301 Moved Permanently,这样的lua waf 对CC攻击应该就无效了

再使用阿里云SLB来验证下,HTTP:80重定向至 HTTPS: 443也会出现302 Found

如果不使用curl -L会出现302 Found,这样的lua waf 对CC攻击应该就无效了

给TA买糖
共{{data.count}}人
人已赞赏
硬件管理

lspci命令

2018-4-29 18:11:34

其他工具

nginx配置HTTP强制HTTPS参考

2021-5-14 14:52:42

个人中心
今日签到
有新私信 私信列表
搜索