ngx_lua_waf
ngx_lua_waf copied to clipboard
oneinstack
测试CC防护时发现两个问题。
我在本地测试CC频率设置为一分钟内2次触发拦截config_cc_rate = "2/60" 访问http://127.0.0.1:81/刷新2三次触发重定向到http://127.0.0.1:81/captcha-waf.html?continue=aHR0cDovLzEyNy4wLjAuMS8=验证,有一个小问题是ajax验证成功之后回调函数会重定向url,这url不带端口,以下是我稍作修改之后的: success: function(res){ var targetUrl = new URLSearchParams(location.search).get('continue') targetUrl = atob(targetUrl) //location.href = targetUrl;
var targetUrlObj = new URL(targetUrl);
if (!targetUrlObj.port) {
targetUrlObj.port = location.port;
}
location.href = targetUrlObj.toString();
},
第二个问题,触发CC防护之后浏览器是url是http://127.0.0.1:81/captcha-waf.html?continue=aHR0cDovLzEyNy4wLjAuMS8= 此时我不进行验证,把url改成http://127.0.0.1:81/访问,会重新跳验证,再把url改成http://127.0.0.1:81/回车访问,访问成功了,跳过了验证。。也就是触发验证之后无视验证,重复请求两次http://127.0.0.1:81/就会跳过验证,成功率100%。。
