У меня установлены Apache 2.4 и mod_security 2.9.1, и он работает с некоторыми очень простыми правилами.

Я пытаюсь сделать запрос POST, который включает некоторую информацию заголовка, но не имеет ничего в теле запроса (запрос направлен на конечную точку API, которая защищена mod_security, и эта конечная точка требует POST без тела запроса) , POST, который не требует тела, действителен согласно следующему:Требуются ли / должны ли запросы PUT и POST иметь тело запроса?

mod_security блокирует запрос, потому что кажется, что он не может проанализировать / отформатировать тело (вероятно, потому что он не существует).

Как я могу изменить правила, чтобы разрешить POST без тела, но в противном случае действовать как обычно, если тело существует.

Конкретное правило, которое запускается:

SecRule REQBODY_ERROR "!@eq 0" \
"id:'200002', phase:2,t:none,log,deny,status:415,msg:'Failed to parse request body.',logdata:'%{reqbody_error_msg}',severity:2"

Ошибка:

[Fri Jul 08 10:32:32.901230 2016] [:error] [pid 7697] [client 10.0.2.2:57442] [client 10.0.2.2] ModSecurity: JSON parser error: parse error: premature EOF\n [hostname "example.com"] [uri "/api/v1/logout"] [unique_id "V377qH8AAQEAAB4RU6cAAAAD"]

[Fri Jul 08 10:32:32.901555 2016] [:error] [pid 7697] [client 10.0.2.2:57442] [client 10.0.2.2] ModSecurity: Access denied with code 415 (phase 2). Match of "eq 0" against "REQBODY_ERROR" required. [file "/etc/modsecurity/modsecurity.conf"] [line "61"] [id "200002"] [msg "Failed to parse request body."] [data "JSON parser error: parse error: premature EOF\\x0a"] [severity "CRITICAL"] [hostname "example.com"] [uri "/api/v1/logout"] [unique_id "V377qH8AAQEAAB4RU6cAAAAD"]

Или я должен просто не отправлятьContent-Type HTTP-заголовок, чтобы получить mod_security для анализа тела (хотя я бы предпочел, чтобы все POST-запросы всегда имели определенныйContent-Type)?

Я сделал суть полногоmodsecurity.conf который используется (это базовый пример с двумя дополнительными правилами для фильтрации типов контента).