2016-09-11

ロリポップのサーバーでscriptタグをPOSTすると403エラーで弾かれる

はじめに

ロリポップのレンタルサーバーにおいて、POSTを送信すると403エラーで弾かれてしまう、という事がありました。なんでかなーと思って色々確認してみるたところ、403にエラーになる理由と対処方法が分かったのでメモしておきます。

403エラーとその原因

まず、403エラーは曰く、主にアクセス権限が無いなどの場合に吐かれるエラーのようです。しかし、権限等に関する部分はいじってないし、今までも普通にPOSTを送信できていました。となると、POSTの中身が何らかの制限に引っかかっているのではないかと思い、今一度眺めると、いかにも制限されそうなscriptタグが。試しに、scriptタグの部分を抜いてPOSTを送信してみると、今度はエラーは出ずに通りました。

対処方法

でも、scriptタグはどうしてもPOSTしたいので、どうにかならないものかとアクセス制限回りを調べていると、どうやらロリポップのレンタルサーバーのWAF(ウェブアプリケーションファイアーウォール)なるものが悪さ?をしているらしい。これは、webサイトへのXSSやSQLインジェクションを防いでくれるものらしいのですが、scriptタグもその対象に含まれているようで、これをオフにすることでscriptタグもPOSTすることが出来るようになりました。

さいごに

普通に考えればscriptタグのやり取りが制限されるのって当たり前ですよね。外部からの攻撃のことを考えると、WAFを常時オフにすることは推奨されないと思うので、私の場合は、scriptタグを送信したいときだけ一時的にWAFをオフにしています。WAFは結構強力な設定になっているようなので、scriptタグに限らず、セキュリティ制限に引っかかりそうなやり取りでエラーが出ている場合は、いったんWAFを切って確認してみてはどうでしょうか。



コメントする(※は必須項目です)













画像認証