嗨,我有一个客户端尝试使用以下http标头发送给我们:
content-type: application/x-www-form-urlencoded
content-encoding: UTF-8
但我们的Web应用程序防火墙一直在捡起它们并抛出错误:
消息:[file"/etc/httpd/modsecurity.d/10_asl_rules.conf"] [line"45"] [id"340362"] [msg"Atomicorp.com WAF规则:ModSecurity不支持内容编码,无法检测使用它的攻击,因此必须被阻止."] [严重性"警告"]访问被拒绝,代码501(阶段2).需要匹配"rx ^ Identity $"与"REQUEST_HEADERS:Content-Encoding".行动:截获(第2阶段)
有人想对这件事情有所了解吗?
fge*_*fge 24
它无效.该content-encoding指定的数据传输编码由内容的发行人使用.UTF-8不是内容编码,它是一个字符集.在content-type标题中指定字符集:
content-type: text/plain; charset=utf-8
有效的内容编码值,例如gzip,deflate.HTTP 客户端应该使用accept-encoding标头指定它支持的内容编码; HTTP 服务器将回复content-encoding标题.