CoreRuleSet项目中URL顶级域名被误判为文件扩展名的解决方案

在Web应用防火墙（WAF）规则集CoreRuleSet的实际应用中，管理员可能会遇到一个典型问题：当处理以.com等常见顶级域名（TLD）结尾的URL时，系统会错误地将其识别为受限文件扩展名，从而触发安全规则拦截。这种情况尤其会影响社交媒体平台（如Mastodon实例）的管理操作。

问题本质

CoreRuleSet的REQUEST-920-PROTOCOL-ENFORCEMENT.conf规则文件中，默认将.com等字符串列入受限文件扩展名名单（规则ID 920440）。这是出于安全考虑，防止攻击者通过特殊文件类型进行渗透。然而当这些字符串作为合法域名的一部分出现时（如misskey.sss-fc.com），系统仍会机械地进行模式匹配，导致误报。

技术背景

1. WAF检测机制：规则920440采用Within运算符检查URL中是否包含预定义的敏感扩展名列表
2. 触发条件：任何包含.com/等模式的URL路径都会被捕获，无论其实际语义是否为文件扩展名
3. 安全评分：此类误报会累计异常分数，最终触发规则949110的阻断动作

解决方案

方案一：全局规则调整（适合简单环境）

直接修改crs-setup.conf文件，注释掉规则900240并移除.com/条目。这种方法简单直接，但会降低对所有.com路径的检测强度。

方案二：精准例外规则（推荐生产环境）

在规则配置中添加针对性豁免规则，示例：

SecRule REQUEST_FILENAME "@rx ^/admin/instances/[0-9a-z.\-]+\.com$" \
    "id:9999012,\
    phase:1,\
    pass,\
    t:none,\
    nolog,\
    ctl:ruleRemoveById=920440"

该规则特点：

1. 使用正则表达式精确匹配管理接口路径
2. 仅对特定URL模式禁用920440规则
3. 保持对其他场景的安全检测不变

最佳实践建议

1. 生产环境优先采用方案二，保持安全防护的精确性
2. 设计例外规则时应严格限定路径范围，避免过度豁免
3. 对修改后的规则进行充分测试，验证是否影响正常业务请求
4. 定期审查例外规则，确保其与当前业务需求保持一致

这种精细化的规则调整方式，既解决了特定场景下的误报问题，又维持了WAF的整体防护能力，体现了安全防护中"精确打击"的设计理念。