什么 Web 应用程序防火墙可以用于 Apache Tomcat?
What Web Application Firewall can be used for Apache Tomcat?
我正在研究 ModSecurity 以防止对我们的 Web 应用程序进行 XSS 攻击,这是一个 Apache 的 WAF,但我对如何安装感到很困惑,因为它需要 Apache httpd,但我目前使用的服务器是 Apache Tomcat v.8 和 ModSecurity 的先决条件是拥有 Apache 2.x 或更高版本。是否有 Apache Tomcat 的 WAF,或者我应该将 Apache 2.x 与我的 Apache Tomcat v.8 服务器集成,Apache 2.x 与我的 Apache [= 之间有什么区别? 16=]服务器?
Apache(非 tomcat)是 'just' 一个 HTTP 服务器,用 C 语言编写,与 java 无关,这通常被称为 'apache'。
Tomcat 或 'Apache Tomcat' 是 Java Web 应用程序和 http 服务器的 Servlet 容器。
要将 mod_security 与 Tomcat 一起使用,您可能需要安装 apache 作为 tomcat 前面的反向代理。
配置 mod_security(并处理误报)可能非常困难……而且,即使很好,标准规则集也不是针对 XSS(或 sql 注入等)的最终决定。
为了避免 Tomcat 中的 XXS,我的建议是对动态 HTML 页面中的 HTML、HTML 属性、Java 脚本等应用正确的编码。
您可以使用像 ESAPI 这样的库来完成此操作:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
另一种方法是使用 ThymeLeaf 作为表示引擎而不是 JSP。这将自动为您编码输出,并且对 XXS 更有效。
我正在研究 ModSecurity 以防止对我们的 Web 应用程序进行 XSS 攻击,这是一个 Apache 的 WAF,但我对如何安装感到很困惑,因为它需要 Apache httpd,但我目前使用的服务器是 Apache Tomcat v.8 和 ModSecurity 的先决条件是拥有 Apache 2.x 或更高版本。是否有 Apache Tomcat 的 WAF,或者我应该将 Apache 2.x 与我的 Apache Tomcat v.8 服务器集成,Apache 2.x 与我的 Apache [= 之间有什么区别? 16=]服务器?
Apache(非 tomcat)是 'just' 一个 HTTP 服务器,用 C 语言编写,与 java 无关,这通常被称为 'apache'。 Tomcat 或 'Apache Tomcat' 是 Java Web 应用程序和 http 服务器的 Servlet 容器。 要将 mod_security 与 Tomcat 一起使用,您可能需要安装 apache 作为 tomcat 前面的反向代理。 配置 mod_security(并处理误报)可能非常困难……而且,即使很好,标准规则集也不是针对 XSS(或 sql 注入等)的最终决定。 为了避免 Tomcat 中的 XXS,我的建议是对动态 HTML 页面中的 HTML、HTML 属性、Java 脚本等应用正确的编码。 您可以使用像 ESAPI 这样的库来完成此操作:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 另一种方法是使用 ThymeLeaf 作为表示引擎而不是 JSP。这将自动为您编码输出,并且对 XXS 更有效。