如何限制 mod_perl 中 HTTP POST 请求的大小？

Question

我正在开发一个接受文件上传的页面。理论上我可以 检测他们发送给我的文件何时太大（通过查看 他们的回复的内容长度），并拒绝接受上传， 返回 HTTP 413“请求实体太大”错误。

然而，似乎仅仅这样做还不够——Firefox，位于 至少，仍然会继续发送文件的其余部分（这可能需要 很长时间），然后才显示我的错误页面。

HTTP 规范说我：“可以关闭连接以防止客户端 继续请求。”但是，执行“关闭 STDIN”， “shutdown STDIN, 0”或它的某些变体似乎不起作用 技巧——Firefox 仍然继续发送文件。

我怀疑，当我的 mod_perl 处理程序关闭连接时，它是 只是关闭它自己和 Apache 之间的连接；阿帕奇保留了 它和客户端之间的连接仍然有效。有什么办法可以告诉 Apache要关闭连接吗？否则，这看起来很棒 DoS 向量。

任何建议都将受到欢迎。

Answer 1

您是否探索过 Apache 的限制功能（相对于 Perl 的限制功能）？我不详细了解 LimitRequestBody 指令处理太大的请求，但至少在理论上它看起来像是一个旨在阻止攻击的设置。

Answer 2

是的，无论 Perl 对 STDIN 或 STDOUT 做什么，Apache 仍然会在检查 CGI 发生的情况之前允许上传继续进行。您可以关闭 STDIN 或 STDOUT 甚至 exit() （尽管您不能这样做，因为您的进程是持久的），但没有一个直到 Apache 完全接受 POST 请求之后，该命令才会生效。同样，对于您可能生成的任何类型的状态标头，例如表示“请求太大”的 413。

因此，您需要让 Apache 拒绝超过一定大小的 POST 请求才能正常工作，例如使用 LimitRequestBody 作为 佩卡建议。