这是可能的,但很可能您的主机为某种原因实现了mod_security。确保他们同意您禁用它以供您自己的站点使用。
话虽如此,以下代码可以实现:
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
在一些服务器和网络主机上,可以通过 .htaccess 禁用 ModSecurity,但请注意,您只能打开或关闭它,不能禁用单个规则。
但仍然保持站点安全的好习惯是仅在特定URL上禁用它,而不是整个站点。您可以通过下面 <If> 语句中的正则表达式指定要匹配的URL...
### DISABLE mod_security firewall
### Some rules are currently too strict and are blocking legitimate users
### We only disable it for URLs that contain the regex below
### The regex below should be placed between "m#" and "#"
### (this syntax is required when the string contains forward slashes)
<IfModule mod_security.c>
<If "%{REQUEST_URI} =~ m#/admin/#">
SecFilterEngine Off
SecFilterScanPOST Off
</If>
</IfModule>
wp-admin/admin.php?page=gf_edit_forms。 - Ciprian Tepes<IfModule mod_security.c>
SecRuleEngine Off
SecFilterInheritance Off
SecFilterEngine Off
SecFilterScanPOST Off
SecRuleRemoveById 300015 3000016 3000017
</IfModule>
SecRuleEngine Off和SecFilterInheritance Off的价值,但是你没有解释SecRuleRemoveById如何工作。我了解这个概念:像你列出的数字一样的单独规则可以通过该指令选择性地关闭。但是为什么你在帖子中特别使用了300015、3000016和3000017?为什么您的答案比其他答案更好?我只看到了SecRuleEngine Off和SecFilterInheritance Off的价值,但是您并没有解释SecRuleRemoveById的工作原理。我了解其概念:通过该指令,像您列出的数字那样的单独规则可以被选择性地关闭。但是,为什么您在文章中特别使用300015、3000016和3000017? - Giacomo1968SecRuleRemoveById 300015 这一行对我有效。 - Eternal--enable-htaccess-config标志进行编译。大多数主机不使用此编译器选项,因为它允许过于宽松的安全性。相反,在httpd.conf中的虚拟主机是控制modsec的首选选项。SecRuleEngine不能再在此处使用。以下是默认情况下可以在htaccess中使用的列表(请记住,主机可能会进一步限制此列表,使用AllowOverride): - SecAction
- SecRule
- SecRuleRemoveByMsg
- SecRuleRemoveByTag
- SecRuleRemoveById
- SecRuleUpdateActionById
- SecRuleUpdateTargetById
- SecRuleUpdateTargetByTag
- SecRuleUpdateTargetByMsg
对于2.x用户的额外说明:现在IfModule应该寻找mod_security2.c而不是旧版本的mod_security.c
有些网站主机(包括NameCheap)不支持使用.htaccess来禁用 ModSecurity。唯一的解决方案是联系技术支持,并要求他们为您更改配置。
<ifmodule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</ifmodule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>只需将 mod_security 规则如 SecFilterEngine 和其他部分分开即可。这适用于 Apache 服务器。
对于那些只是想绕过错误页面,在共享主机上显示内容的人,您可以尝试在 .htaccess 文件中使用重定向。如果出现 406 错误,在 UnoEuro 上似乎不能简单地停用安全性来解决。所以我使用了这个方法:
ErrorDocument 406 /
然后,您可以始终使用PHP更改错误状态。但请注意,在我的情况下这样做意味着我正在打开SQL注入的大门,因为我正在绕过WAF。因此,您需要确保要么拥有自己的安全措施,要么尽快重新启用安全性。