Мы думаем о том, чтобы сделать наши компьютеры на уровне ModSecurity, чтобы избежать проблем с нашим веб-приложением HTPPS, отправляющим персонализированную REQUEST HEADER через плагин для браузера , который мы используем.
Мы также тонкие о добавлении правила в ModSecurity config для обхода запросов с этим заголовком (начиная с 2.5 действие allow влияет на все фазы, если вы не используете параметр phase).
Это пример правила, которое мы используем:
SecRule REQUEST_HEADERS:Trusted_Client_Password "^THE_PASSWORD" id:95,nolog,allow,msg:Trusted_Client_Password_Bypass
Достаточно ли безопасен этот метод?