Seguindo a resposta nos comentários sobre a pergunta original;
Em suma, não é possível negar o URI da inspeção, o ModSecurity é como outros produtos baseados em regras / assinaturas.
O que você pode fazer é obter o ID de regra para seus falsos positivos (no log de erros do apache para VirtualHost
) e executar um SecRemoveRuleById 123456
na configuração do seu apache. Isso permitirá remover os falsos positivos de sendo correspondido.
Eu sugiro que você faça o mais seletivamente possível por meio de uma diretiva LocationMatch
ou similar
Por bate-papo, Hrvoje's mostra um exemplo ou um encadeamento de regras que pode ser útil