Eu instalei um modsecurity WAF no meu Ubuntu 16.04 e eu tentei proteger o meu site contra ataques CSRF.
Tudo funciona bem, o WAF está mostrando o acesso negado no modsec-audit.log, mas está me impedindo de acessar algumas das funções do meu site que foram alteradas.
Para ativar a regra do CSRF, fiz um link simbólico de modsecurity_crs_43_csrf_protection.conf e modsecurity_crs_16_session_hijacking.conf sob minhas regras ativadas.
Então talvez eu tenha alguma configuração para adicionar. Ela é resultado do meu modsec-audit.log
--e631b43a-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 339
Keep-Alive: timeout=5, max=15
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
--e631b43a-E--
Tags apache-http-server