AAD回复url由Azure中的WAF标记

Question

我已经在Azure FrontDoor中使用检测模式的默认策略启用了网络应用程序防火墙。在网站管家生成的日志中，我们可以看到防火墙将AAD中设置的回复url标记为Block。

​

​

我相信防火墙正在检测到这是一个威胁。由于AD认证的工作需要url，那么如何确保安全性？或者这可以忽略不计？

Answer 1

您不应该需要回复URL才能正确，因为它实际上只需要获取访问令牌。如果你正在获取访问令牌，并且你不需要访问回复url，那么这不应该是你需要担心的事情。

如果你想在你的应用程序中访问回复url，你可以取消阻止它，但是如果你知道回复url是安全的，应该不会有任何安全问题。

根据文档：https://docs.microsoft.com/en-us/azure/active-directory/develop/reply-url

重定向URI，或回复URI，是授权服务器在应用程序成功授权并授予授权码或访问令牌后将用户发送到的位置。代码或令牌包含在重定向URI或回复令牌中，因此在应用程序注册过程中注册正确的位置非常重要。

Answer 2

转到您的前门管家政策的WAF policy，然后单击Managed rules。全部折叠，然后单击相关策略和change action to Allow。然后刷新前门的WAF，它将适用。

​

​

你可以使用Azure Front Door进行custom rules for WAF，并参考fix false positives应用程序网关中的禁用规则。