我已经在 Azure FrontDoor 中启用了带有检测模式的默认策略的 Web 应用程序防火墙。在 WAF 生成的日志中,我们可以看到防火墙将 AAD 中设置的回复 url 标记为 Block。
我相信防火墙将其检测为威胁。由于 url 是 AD 身份验证工作所必需的,那么可以做些什么来确保安全?或者这可以忽略不计?
问问题
625 次
2 回答
0
您不需要正确回复 URL,因为它实际上只需要获取访问令牌。如果您正在获取访问令牌并且您不需要访问回复 url,那么这不应该是您需要担心的事情。
如果您想出于应用程序的目的访问回复 url,您可以取消阻止它,但假设您知道回复 url 是安全的,则不应该有任何安全问题。
根据文档:https ://docs.microsoft.com/en-us/azure/active-directory/develop/reply-url
重定向 URI 或回复 URL 是应用程序成功授权并授予授权代码或访问令牌后授权服务器将用户发送到的位置。代码或令牌包含在重定向 URI 或回复令牌中,因此在应用注册过程中注册正确的位置非常重要。
于 2020-01-07T02:35:30.047 回答
0
转到您WAF policy的 Front Door WAF 策略并单击Managed rules。全部折叠并单击相关策略change action和Allow。然后刷新前门的WAF,它就会应用。
您可以使用 Azure Front Door自定义 WAF 规则,并参考应用网关中的禁用规则来修复误报。
于 2020-01-07T02:35:37.667 回答