Java Apache Tomcat可以使用什么Web应用程序防火墙？

我正在研究ModSecurity，以防止对我们的Web应用程序（Apache的WAF）的XSS攻击，但我对如何安装感到非常困惑，因为它需要Apache httpd，但我目前使用的服务器是Apache Tomcat v.8，ModSecurity的先决条件是使用Apache 2.x或更高版本。ApacheTomcat是否有WAF，或者我应该将Apache2.x与ApacheTomcat v.8服务器集成，Apache2.x与ApacheTomcat服务器之间有什么区别？

Apache（非Tomcat）只是一个HTTP服务器，用C编写，与java无关，这通常被称为“Apache”。 Tomcat或“ApacheTomcat”是Java web应用程序和http服务器的Servlet容器。 要在Tomcat中使用mod_安全性，您可能需要在Tomcat前面安装apache作为反向代理。 配置mod_安全性（以及处理误报）可能非常困难。。。而且，即使很好，标准规则集也不是XSS（或sql注入等）的最终目标。 我建议在Tomcat中避免使用XXS，即在动态HTML页面中对HTML、HTML属性、Javascript等应用正确的编码。 您可以使用ESAPI这样的库来实现这一点： 另一种方法是使用ThymeLeaf作为表示引擎，而不是JSP。这将为您自动编码输出，对XXS更有效