Démarrer la vérification de l 'URL

La vérification de l 'URL de démarrage检查le le dans les demandes entrantes et bloque le le le le ne répond pas aux critères spécifiés。Pour répondre aux critères, l 'URL doit通信à une entrée de la list URL de démarrage, sauf si le paramètre Imposer la fermeture de l 'URL est activé。我很积极paramètre，我们有自己的组织有自己的权利有自己的投票网站connecté à我们有自己的权利。

Le但主要de la验证de l 'URL de demarrage est d 'empecher les tentatives repetees d 'acces辅助URL aleatoires苏尔联合国网站Web(导航forcee)票面Le biais de刻de留置权走读生,欧德索特更des页面en saisissant manuellement les URL倒忽略页面requises倒加入这个一部分网站网页。Une navigation forcée peut être utilisée pour déclencher un dépassement de卫生棉条，trouver du contenu auquel les utilisateurs n ' étaient pas censés accéder方向，ou trouver Une porte dérobée dans les zones sécurisées de votre server Web。Le Web App Firewall贴花la traversée ou Le chemin logique donné d 'un site Web en auant unique l 'accès aux URL configurées en ant qu 'URL de démarrage。

我的助手和界面的图形，丹la boîte de对话修饰语la vérification de l 'URL de démarrage，苏l ' onlet Général, vous pouvez activer ou désactiver Bloquer, Journal, statistical, action d '学徒et les paramètres suivants:

• 这是我的意思。我们的网站'accéder à我们的网站网站我们的网站我们的网站超文本我们的网站网站。Les utilisateurs peuvent加入一个不管您您的网站网页访问从de la页面d 'accueil ou de吹捧de demarrage cliquant苏尔des hyperliens被任命者。备注:发酵功能和网址网址à toute chaîne de requête d ' être ajoutée et envoyée avec l ' url d ' action d ' un Web soumis à l ' aide de La méthode HTTP GET。Si vos网站网址protégés utilisent des formulaires pour accéder à une base de données SQL, assure -vous que la vérification d 'injection SQL est activée et correcmentement configurée。
• Fermeture d 'URL without session。客户端，这种类型的发酵和url功能精确的même manière标准的发酵和url，明智的à会议，使用的是intégré丹的l 'URL au代替d 'un饼干倒存在l 'activité de l 'utilisateur，这是一种清汤，是一种资源。Lorsque la fermeture d 'URL sans session est activée, le Web App Firewall ajoute une balise«as_url_id»à toutes les URL qui sont en fermeture d 'URL。标记: Lorsque vous activez la fermeture d 'URL without session, vous devez également activer la fermeture d 'URL régulière (Forcer la fermeture d 'URL) ou la fermeture d 'URL without session ne funtionne pas。
• 瓦里德'en-tête杜référent。Vérifiez que l 'en-tête参考要求的内容données公式网来源的选民网站protégé au lieu d 'un autre网站网站。行动vérifie选民网站网址，攻击者网址extérieur，来源网址。Cela protège requêtes站点间的篡改(CSRF)无nécessiter le balisage de formulaire, ce qui nécessite加上de CPU que les vérifications d 'en-tête。Le Web App Firewall peut gérer l 'en-tête HTTP Referer de l’une des quatre manières suivantes, selon l’option sélectionnée dans la liste déroulante:
  • 从-Ne pas valider l 'en-tête推荐人。
  • 如果存在-有效'en-tête参考人不存在en-tête参考人存在。Si un en-tête引用者无效trouvé， la demand génère une breach d 'en-tête référent-référent。Si aucun en-tête Referer n ' exists, la demande ne génère pas de breach d 'en-tête référent-référent。Web应用程序防火墙有效验证的选项'en-tête根据大陆需求提供参考en-tête根据区域需求提供参考的工具不提供导航的工具définit工具'en-tête根据代理工具提供代理Web过滤的工具en-tête。
  • URL总是除开始: validz toujours l 'en-tête推荐人。S 'il n 'y pas d 'en-tête Referer et que l 'URL demandée n 'est pas exemptée par la règle de relaxation StarTURL, la demande génère une breach d 'en-tête référent-référent。Si l 'en-tête Referer est présent maiis qu 'il n 'est pas, la requête génère une breach d 'en-tête référent-référent。
  • 总是排除第一个请求- validz toujours l 'en-tête du référent。S 'il n 'y a pas d 'en-tête référent, seule l 'URL qui est accédé en premier est autorisée。Toutes les autres URL sont bloquées sans en-tête référent valide。Si l 'en-tête Referer est présent maiis qu 'il n 'est pas, la requête génère une breach d 'en-tête référent-référent。

Un paramètre d 'URL de démarrage，豁免les URL de fermeture des vérifications de sécuritén 'est pas configuré dans la boîte de dialogue修饰语la vérification d 'URL de démarrage, mais est configuré dans l 'onglet Paramètres du proffil。Si cette option est activée, ce paramètre indique au Web App Firewall de ne pas exécuter d ' aures vérifications basées sur le formulaire(告诉que le脚本跨站点和检查SQL注入)sur les URL qui répondent aux critères de fermeture d 'URL。

标记

好公式l 'en-tete du referent et la验证验证安全范围de l 'URL de demarrage partagent les模因产品d 'action系数可能de紫罗兰la验证de l 'en-tete du referent sans紫罗兰la验证de l 'URL de demarrage。La différence最可见的dans les journaux，关于违规的vérification de l 'en-tête du référent de journal séparément de违规的vérification de l 'URL de démarrage。

Les paramètres d 'en-tête Referer (OFF, IF-Present, always sexceptstarturls et always sexceptfirstrequest) sont organisés dans l ' order le moins restrict à le plus restrict et function comme suit:

:

• En-tête du référent非coché。

如果存在:

• La requête n 'a pas d 'en-tête référent -> La requête est autorisée。
• La requête a l 'en-tête du référent et l 'URL du référent est丹斯La发酵de l 'URL -> La requête est autorisée。
• La requête a l 'en-tête du référent et l 'URL du référent不dans la fermeture de l 'URL -> la requête est bloquée。

AlwaysExceptStartURLs:

• La requête n 'a pas d 'en-tête référent et l 'URL de La requête est une URL de démarrage -> La requête est autorisée。
• 有需求的地方'en-tête référent等有需求的地方，有需求的地方démarrage ->有需求的地方bloquée。
• La requête a l 'en-tête du référent et l 'URL du référent est丹斯La发酵de l 'URL -> La requête est autorisée。
• La requête a l 'en-tête du référent et l 'URL du référent不dans la fermeture de l 'URL -> la requête est bloquée。

AlwaysExceptFirstRequest:

• 请求n 'a pas d 'en-tête référent et est la première URL de requête de la session ->允许请求。
• La requête n 'a pas d 'en-tête référent et不la première URL de requête de la session -> la requête est bloquée。
• 请求al 'en-tête référent et est soit la première URL de requête de la session, soit est en fermeture d 'URL ->允许请求。
• La requête a l 'en-tête référent et n 'est ni ' La première URL de requête de La session ni est en发酵d 'URL -> La requête est bloquée。

我的命令是:我的命令是:我的命令是:我的命令是:我的命令是:我的命令是:

• set appfw profile -startURLAction [block] [learn] [log] [stats] [none]
• 设置appfw profile -startURLClosure ([ON] | [OFF])
• 设置appfw profile -sessionlessURLClosure ([ON] | [OFF])
• set appfw profile - exceptclosureurlsfromsecuritychecks ([ON] | [OFF)
• set appfw profile -RefererHeaderCheck ([OFF] | [if-present] | [AlwaysExceptStartURLs] | [AlwaysExceptFirstRequest])

倒spécifier des relaxations倒la vérification de l 'URL de démarrage, vous devez utiliser l 'interface graphique。苏l 'onglet验证de la夜总会de对话修饰符拉验证de l 'URL de亮相,双击苏尔Ajouter倒打开拉小酒馆de对话Ajouter la放松de la验证de l 'URL de亮相欧selectionnez一个放松existante et双击苏尔打开倒打开拉小酒馆de对话修饰符拉放松de la验证de l 'URL de亮相。L 'une ou L 'autre des boîtes de dialogue fournit les mêmes options pour configururer une relaxation。

Voici des examples de relaxations de vérification de l 'URL de démarrage:

• Autoriser les utiisateurs à accéder à la page d 'accueil à l ' address www.example.com:

  ^ http://www[。][示例。com $ < !——NeedCopy >

• Autoriser les utilisateurs à accéder à toues les pages Web au格式HTML statique (.htm et . HTML)， HTML analysé par server(。PHP (.php) et Microsoft ASP (.asp) à l ' address www.example.com:

  ^ http://www[][]例子com/ ([0-9A-Za-z] [0-9A-Za-z _-]\*/)\* [ 0-9A-Za-z] [0-9A-Za-z_. -] * [] (asp php | | htp |年代html ?) $ < !——NeedCopy >

• Autoriser les utilisateurs à accéder aux pages Web avec de chemin d 'accès ou des de fichiers contendes caractères非ASCII sur www.example-español.com:

  ^ http://www [] example-espaxC3xB1ol [,] com/ (((0-9A-Za-z) | x [0-9A-Fa-f] [0-9A-Fa-f]) ([0-9A-Za-z_ -] [0-9A-Fa-f] [0-9A-Fa-f | x ])\*/)\* ([ 0-9A-Za-z] | x [0-9A-Fa-f] [0-9A-Fa-f]) ([0-9A-Za-z_ -] | x [0-9A-Fa-f] [0-9A-Fa-f]) *(。)(asp php | | htp |年代html ?) $ < !——NeedCopy >

  标记: Dans l 'expression ci-dessus, chque class de caractères a été regroupée avec la chaîne x[0-9a-fa-F][0-9a-fa-F]， qui对应à toutes chaînes de code de caractères correctement concites, mais n 'autorise pas les barres斜角逆errantes qui ne sont pas associées à une chaîne de code de caractères UTF-8。La双杠斜反()est une une barre斜反échappée, qui indique au Web App Firewall de l 'interpréter comme une barre斜反littérale。Si vous n '包括qu 'une barre斜反，le Web App Firewall interpréterait à la place le钩针歪斜suivant ([) comme un caractère littéral au lieu de l 'ouverture d 'une class de caractères, ce i romprit l 'expression。

• Autoriser les utiisateurs à accéder à tous les graphiques au格式GIF (.gif)， JPEG (.jpg et .jpeg) et PNG (.png) à l ' address www.example.com:

  ^ http://www[][]例子com/ ([0-9A-Za-z] [0-9A-Za-z _-]\*/)\* [ 0-9A-Za-z] [0-9A-Za-z_. -] * [] (gif | jpe ? g | png) $ < !——NeedCopy >

• Autoriser les utilisateurs à accéder aux scripts CGI (.cgi) et PERL (.pl)， mais unique dans le répertoire CGI- bin:

  ^ http://www[][]例子com/CGI-BIN/ [0-9A-Za-z] [0-9A-Za-z_. -] * [] (cgi | pl) $ < !——NeedCopy >

• Autoriser les utilisateurs à accéder à Microsoft Office et à d 'autres fichiers de documents dans le répertoire docsarchive:

  ^ http://www[][]例子com/docsarchive/ [0-9A-Za-z] [0-9A-Za-z_ -。]* [](doc | xls | pdf | ppt) $ < !——NeedCopy >

标记

Par défaut, toues les URL du Web App Firewall sont considérées comme des expressions régulières。

注意:Les expressions régulières sont puissantes。Surtout si vous n ' êtes pas family avec les表达式régulières au格式PCRE, vérifiez les表达式régulières que vous écrivez。我们一定会去définissent完全的，我们一定会去的，我们一定会去的。使用négligente des caractères génériques，等粒子的组合métacaractères/caractères génériques (.*)， peut avoir des résultats que vous ne voulez pas, comme bloquer L 'accès au contenu Web que vous n ' viez la的意图ou autotoriser une攻击la vérification de L 'URL de démarrage auait autrement bloquée。

委员会

Vous pouvez ajouter le- - - - - - -à la list autorisée de mots-clés SQL pour le schéma d 'attribution de names d 'URL。比如,https://FQDN/bread-and-butter．