我正在研究 ModSecurity 以防止对我们的 Web 应用程序(Apache 的 WAF)进行 XSS 攻击,但我对如何安装感到很困惑,因为它需要 Apache httpd,但我目前使用的服务器是 Apache Tomcat v.8 ModSecurity 的先决条件是拥有 Apache 2.x 或更高版本。 Apache Tomcat 是否有 WAF,或者我应该将 Apache 2.x 与我的 Apache Tomcat v.8 服务器集成,Apache 2.x 与我的 Apache Tomcat 服务器有什么区别?
【问题讨论】:
标签: java apache security tomcat
Apache(非 tomcat)“只是”一个 HTTP 服务器,用 C 编写,与 java 无关,这通常被称为“apache”。 Tomcat 或“Apache Tomcat”是 Java Web 应用程序和 http 服务器的 Servlet 容器。 要将 mod_security 与 Tomcat 一起使用,您可能需要在 Tomcat 前面安装 apache 作为反向代理。 配置 mod_security(并处理误报)可能非常困难......而且,即使很好,标准规则集也不是针对 XSS(或 sql 注入等)的最终决定。 我在 Tomcat 中避免 XXS 的建议是对动态 HTML 页面中的 HTML、HTML 属性、Javascript 等应用正确的编码。 您可以使用 ESAPI 之类的库来完成此操作:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 另一种方法是使用 ThymeLeaf 作为表示引擎而不是 JSP。这将自动为您编码输出,并且对 XXS 更有效。
【讨论】: