Я установил WAF modsecurity в свою Ubuntu 16.04 и попытался защитить свой сайт от CSRF-атак.
Все работает правильно, WAF показывает, что доступ запрещен в modsec-audit.log, но он блокирует мне доступ к avec, некоторые функции моего сайта изменены.
Для активации правила CSRF я сделал символическую ссылку modsecurity_crs_43_csrf_protection.conf и modsecurity_crs_16_session_hijacking.conf под моими активированными правилами.
Поэтому, возможно, мне нужно добавить некоторые настройки. Это результат моего modsec-audit.log
--e631b43a-F--
HTTP/1.1 403 Forbidden
X-Frame-Options: SAMEORIGIN
Content-Length: 339
Keep-Alive: timeout=5, max=15
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1
--e631b43a-E--