【问题标题】:How to avoid apache content spoofing如何避免 apache 内容欺骗
【发布时间】:2017-08-10 20:54:25
【问题描述】:

我需要避免在我的基于 Web 应用程序上的内容欺骗或用户输入注入。现在如果我访问一个不存在的文件或 URL,我会看到我的自定义 404 页面,但如果我访问一个存在的文件但添加如下附加参数:

http://example.com/crossdomain.xml/%20is%20not%20available.%20Go%20to%20www.otherpage.com

我看到了 apache 的默认 404 页面,其中注入了内容,而不是我的自定义 404 页面,如下图所示

如何设置 apache 来处理这个问题?

【问题讨论】:

  • 不知道能不能这样。但问题是为什么?这只会影响使用此类 URL 的访问者。是客户端。例如,它与 Greasemonkey 相同。我可以将额外的客户端 Javascript 注入网站。但这只会影响我。它不会影响其他任何人。
  • 我被告知这可能会带来内容欺骗安全风险,因此必须修复它。过去我使用 AllowEncodedSlashes On 来解决类似的问题,但这次没有帮助

标签: php apache security


【解决方案1】:

您需要在您的 Apache conf 文件中设置自定义 404:

错误文档 404 /custom_404.html

参考:https://bz.apache.org/bugzilla/show_bug.cgi?id=59772

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2019-08-05
    • 1970-01-01
    • 2010-11-10
    • 2021-05-25
    • 1970-01-01
    • 1970-01-01
    • 2011-03-07
    相关资源
    最近更新 更多