Remotely-Save插件WebDAV配置升级后失效问题分析与解决方案

问题背景

在Obsidian生态中，Remotely-Save作为一款重要的同步插件，近期有用户反馈从0.3.x版本升级到0.4.19后，原本正常工作的WebDAV配置（特别是Nextcloud后端）出现连接失败问题。控制台显示"remote vault folder not exists, creating"后报错"405 Method Not Allowed"，而iOS设备上的旧版本仍能正常工作。

技术分析

经过深入排查，发现该问题与Apache服务器的ModSecurity安全模块配置密切相关。新版本插件在HTTP请求处理方式上有所调整，触发了以下关键安全规则：

1. HTTP请求异常防护规则(921110)
   该规则检测HTTP方法中的异常模式，新版插件可能因请求构造方式变化而被误判。

2. 内容类型策略限制(920420)
   检查Content-Type头部是否符合服务端白名单策略。

3. 结构化数据类型检测(921421)
   对XML/JSON等结构化数据类型的严格验证。

4. 内容类型格式规范(920470)
   要求Content-Type必须符合特定格式模式。

解决方案

对于遇到类似问题的用户，建议采取以下解决步骤：

1. ModSecurity规则调整
   在Apache配置中添加针对特定规则ID的例外：

   SecRuleRemoveById 921110 920420 921421 920470
   

2. 认证方式优化
   虽然问题根源不在认证方式，但建议：

   • 优先使用Basic认证+HTTPS组合
   • 避免使用已被证实存在安全缺陷的Digest认证

3. 请求头处理
   开发者确认新版插件已对请求头进行规范化处理：

   • 自动删除Host和Content-Length头
   • 统一转换header键名为小写
   • 非ASCII值自动编码

最佳实践建议

1. 生产环境部署时，建议先在新版插件测试环境通过完整请求日志验证ModSecurity兼容性
2. 对于自托管WebDAV服务，合理配置安全规则的白名单比完全禁用更安全
3. 保持HTTPS加密传输是基础安全要求，无论使用Basic还是Digest认证
4. 考虑使用专门的WebDAV服务端（如原生Apache WebDAV模块）替代Nextcloud等集成方案

总结

该案例展示了安全防护机制与客户端更新间的兼容性问题。通过分析可见，Remotely-Save新版本在请求处理上更加规范，但可能触发严格的安全规则。用户在升级时应注意检查服务端安全配置，在安全性和功能性之间找到平衡点。对于普通用户，最简单的解决方案是调整ModSecurity规则；对于高级用户，可考虑重构安全策略实现更精细化的控制。