我想知道是否还有其他人在 Azure Front Door 和 Azure Web 应用程序防火墙上遇到过这个问题并且有解决方案。
WAF 正在阻止对我们的 ASP.NET Web 应用程序的简单 GET 请求。被触发的规则是DefaultRuleSet-1.0-SQLI-942440 SQL Comment Sequence Detected。
根据这个截断的示例,我唯一能找到 sql 注释序列的地方是在 .AspNet.ApplicationCookie 中:RZI5CL3Uk8cJjmX3B8S-q0ou--OO--bctU5sx8FhazvyvfAH7wH。如果我删除 cookie 值中的 2 个破折号“--”,请求将成功通过防火墙。一旦我将它们添加回来,请求就会被相同的防火墙规则阻止。
看来我有2个选择。禁用我不想执行的规则(或将其从 Block 更改为 Log),或更改 .AspNet.ApplicationCookie 值以确保它不包含任何会触发防火墙规则的文本。cookie 是由 Microsoft.Owin.Security.Cookies 库生成的,我不确定是否可以更改它的生成方式。