添加 SSL 如果你计划在你的应用中启用 SSL ，请参考 Securing your Atlassian applications with Apache using SSL 页面中的内容，并确定你在相同的连接器中选择 HTTPS。 更多信息 mod_proxy_html  站点提供了一些示例来为你如何配置反向代理提供帮助。 Apache Week has a tutorial 这个指南提供了如何解决复杂的配置情况和 ProxyHTMLURLMap。 https://www.cwiki.us/display/CONF6ZH/Using+Apache+with+mod_proxy

在这些示例中，我们使用下面的信息： http://www.example.com/confluence - 你计划使用的 URL http://example:8090/ - Confluence 当前安装的主机名和端口 http://example:8091/ - Synchrony 当前安装的主机名和端口，这个服务被用来提供默认的协同编辑服务 /confluence - 这个是有关你 Confluence 计划使用的上下文（在主机名和端口的后面） /synchrony - Synchrony 使用的上下文路径，这个提供了协同编辑服务 你需要将上面的 URL 替换成你自己的 URL。 1 设置上下文路径  如果你不需要使用上下文来访问 Confluence，例如你希望使用 www.example.com  来访问这个，你可以跳过这部分的内容。 设置你 Tomcat 中 Confluence 上下文的路径（在主机名和端口的后面）。在这个示例中，上下文路径被配置为 /confluence。 编辑 <installation-directory>conf/server.xml，找到"Context" 的定义： <Context path="" docBase="../confluence" debug="0" reloadable="true"> 然后修改为： <Context path="/confluence" docBase="../confluence" debug="0" reloadable="true"> 在这个示例中，我们已经使用了 /confluence 为上下文的路径。请注意，你不能使用 /resources 为你的上下文路径，这是因为这个上下文的路径在 Confluence 中被用来定义资源，如果你使用这个配置的话，将会在 Confluence 中导致问题。 重启 Confluence，然后你可以尝试使用 http://example:8090/confluence 进行访问，并确保你能正确访问。 2 设置 URL 重定向 下一步，设置 URL 重定向。在 <installation-directory>conf/server.xml 文件中，使用示例的连接器为你的起始点。 注释掉默认的连接器（针对不使用代理的访问）。  显示如何进行配置.. 在 HTTP - Proxying Confluence via Apache or Nginx over HTTP 头部列出的内容，取消注释连接器。  显示如何进行配置.. 在上面显示内容的最下面，插入你的 proxyName 和 proxyPort ： <Connector port="8090" connectionTimeout="20000" redirectPort="8443"    maxThreads="48" minSpareThreads="10"    enableLookups="false" acceptCount="10" debug="0" URIEncoding="UTF-8"    protocol="org.apache.coyote.http11.Http11NioProtocol"    scheme="http" proxyName="www.example.com" proxyPort="80"/> 如果你计划启用 HTTPS，使用 HTTPS - Proxying Confluence via Apache or Nginx over HTTPS. 下面的连接器。 3 配置 mod_proxy 使用下面的一个示例来编辑你的 http.conf 文件中有关应用服务器代理的配置。  你需要针对你的 Apache 启用下面的一些模块，如果这些模块还没有在你的 Apache 中启用的话： mod_proxy mod_proxy_http proxy_wstunnel mod_rewrite （proxy_wstunnel 和 mod_rewrite 是针对 Confluence 6.0 需要的新的模块） http.conf 文件的格式和模块的位置路径，针对你使用操作系统的不同可能有所不同。你们推荐 Windows 的用户在这里配置的时候使用绝对路径。 示例 1：配置上下文路径 在这个示例中，如果你已经在上面的第一步中设置了上下文路径，同时你的 Confluence 服务器也可以通过配置的上下文路径进行访问，例如这个 http://www.example.com/confluence。 在这个示例中，用户将会连接到 Synchrony，这个是针对协同编辑所使用的服务，是通过 WebSockets 直连的。  在配置文件中的配置顺序是非常重要的。 Apache HTTP server 2.4 # Put this after the other LoadModule directives LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so LoadModule proxy_wstunnel_module /usr/lib/apache2/modules/mod_proxy_wstunnel.so LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so # Put this in the main section of your configuration (or virtual host, if using Apache virtual hosts) ProxyRequests Off ProxyPreserveHost On <Proxy *>     Require all granted </Proxy> ProxyPass /synchrony http://<domain>:8091/synchrony <Location /synchrony>     Require all granted     RewriteEngine on     RewriteCond %{HTTP:UPGRADE} ^WebSocket$ [NC]     RewriteCond %{HTTP:CONNECTION} Upgrade$ [NC]     RewriteRule .* ws://<domain>:8091%{REQUEST_URI} [P] </Location>   ProxyPass /confluence http://<domain>:8090/confluence ProxyPassReverse /confluence http://<domain>:8090/confluence <Location /confluence>     Require all granted </Location> 注意：如果你使用的是 HTTP Server 2.2，但是你的 Confluence 使用的 6.0 及其后续版本，这个配置是不能成功的。如果你计划使用 SSL ，你需要使用 2.4.10 或者后续版本。 示例 2：不使用上下文的配置 在这个示例中，如果你已经跳过了第一步的配置，没有使用上下文路径进行访问，例如访问的 URL 为 http://www.example.com/。 在这个示例中，用户将会连接到 Synchrony，这个是针对协同编辑所使用的服务，是通过 WebSockets 直连的。  在配置文件中的配置顺序是非常重要的。 Apache HTTP server 2.4 # Put this after the other LoadModule directives LoadModule proxy_module /usr/lib/apache2/modules/mod_proxy.so LoadModule proxy_http_module /usr/lib/apache2/modules/mod_proxy_http.so LoadModule proxy_wstunnel_module /usr/lib/apache2/modules/mod_proxy_wstunnel.so LoadModule rewrite_module /usr/lib/apache2/modules/mod_rewrite.so # Put this in the main section of your configuration (or virtual host, if using Apache virtual hosts)     ProxyRequests Off   ProxyPreserveHost…

Atlassian 应用允许用户使用反向代理，但是 Atlassian 并不会为这个功能的配置提供支持。因此，Atlassian 也不能保证能够为这些配置提供任何支持。 如果你在配置上有任何需求，请参考 Atlassian Answers 中的内容来获取帮助。 这个页面描述了一个使用 Apache HTTP Server 2.4 来方向代理标准的 Tomcat 容器的方法。你也可以在 NGINX 中找到类似的配置方法。你可能在下面的情况中需要使用这个配置： 你已经有一个存在的 Apache 网站，同时还希望添加 Confluence 到你已经存在的网站中（例如，http://www.example.com/confluence）。 你已经有多个 Java 的应用了，每一个应用都运行在自己的服务器上，并且使用不同的端口在运行，例如，http://example:8090/confluence 和 http://example:8080/jira 同时你希望你的这个 2 个应用都能运行在常用的 HTTP  （80）端口（例如，http://www.example.com/confluence 和 http://www.example.com/jira）。每一个应用都能够被独立的启动，管理和编辑。 备注： 这个页面的文档是有关 Apache 的配置而不是 Confluence 的配置。Atlassian 将会为你在 Confluence 中的配置提供支持，但是我们不能保证能够帮你解决所有有关 Apache 配置的时候遇到的问题。请意识到，这个页面中的内容只是为配置向你提供相关的的信息，如果参考这个页面配置产生的任何问题，后果自负。 https://www.cwiki.us/display/CONF6ZH/Using+Apache+with+mod_proxy

属性（profile）垃圾 属性垃圾的定义为，一个垃圾用户在 Confluence 创建了用户，但是这个用户在自己的属性页面中添加了垃圾 URL。 如果你有很多垃圾用户在你的系统中创建了属性，你可以使用下面的 SQL 很容易的一次性删除。 如何删除属性中的垃圾： 停止 Confluence 实例然后备份好你的数据库。 备注：这个步骤应该在你在数据库运行下面的 SQL 之前进行操作。 找到最后的真实属性：  SELECT bodycontentid,body FROM bodycontent WHERE contentid IN   (SELECT contentid FROM content WHERE contenttype='USERINFO')   ORDER BY bodycontentid DESC; 查看属性页面中的内容，直到你找到垃圾用户的状态。你可能需要要求一系列的区间。 找到需要删除的集合： CREATE TEMP TABLE killset AS SELECT bc.bodycontentid,c.contentid,c.username FROM   bodycontent bc JOIN content c ON bc.contentid=c.contentid WHERE   bodycontentid >= BOTTOM_OF_SPAM_RANGE AND bodycontentID <= TOP_OF_SPAM_RANGE   AND  c.contenttype='USERINFO'; DELETE FROM bodycontent WHERE bodycontentid IN (SELECT bodycontentid FROM killset); DELETE FROM links WHERE contentid IN (SELECT contentid FROM killset); DELETE FROM content WHERE prevver IN (SELECT contentid FROM killset); DELETE FROM content WHERE pageid IN (SELECT contentid FROM killset);   DELETE FROM content WHERE contentid IN (SELECT contentid FROM killset); DELETE FROM os_user_group WHERE user_id IN (SELECT id FROM killset k JOIN os_user o ON o.username=k.username); DELETE FROM os_user WHERE username IN (SELECT username FROM killset); 如果你使用的是 Confluence 5.6 或者早期的版本，请使用下面的 SQL 命令：  For Confluence 5.6 and earlier... 一旦垃圾内容被删除后，重启 Confluence 然后重构内容索引。这操作将会从索引查找对话框中删除任何相关的垃圾内容。 https://www.cwiki.us/display/CONF6ZH/Preventing+and+Cleaning+Up+Spam

如果一个垃圾发布机器人攻击你的 Confluence 站点，这些程序可能来自于同一个 IP 地址，或者是一个比较小范围的 IP 地址段。希望找到攻击者的 IP 地址，请参考 Apache access logs 中的实时内容同时找到这些攻击者攻击的页面。 例如，一个垃圾发布者正在创建用户，你可以在日志中查找 signup.action： $ tail -f confluence.atlassian.com.log | grep signup.action 1.2.3.4 - - [13/Jan/2010:00:14:51 -0600] "GET /signup.action HTTP/1.1" 200 9956 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 37750 比较实际垃圾用户创建的内容和日志中的内容，确保你没有组织实际使用用户的访问。在默认的情况下，Apache 的日志将会在日志的第一段中记录访问者的 IP 地址。 一旦你获取到了攻击你 Confluence 站点的 IP 地址或者 IP 地址段，你可以添加这个地址或者地址段到你的防火墙黑名单中。例如，针对 Linux 的平台，使用 Shorewall 防火墙，你可以简单的运行下面的命令： # echo "1.2.3.4" >> /etc/shorewall/blacklist # /etc/init.d/shorewall reload 希望在 Apache 级别阻止一个 IP 地址，添加这行到你 Apache 的 vhost 配置中： Deny from 1.2.3.4 你可以在启动 Apache 的时候添加  "graceful" 命令，这个命令将会运行你重新启动 Apache 同时保持当前用户的会话。 如果你还不能组织垃圾用户的话，你可以考虑禁用允许公共用户注册。 https://www.cwiki.us/display/CONF6ZH/Preventing+and+Cleaning+Up+Spam

如果你的 Confluence 是允许公众访问的话，你可能会遇到垃圾内容的骚扰。 阻止垃圾发布者 希望阻止垃圾发布者： 启用验证码（Captcha），请参考页面 Configuring Captcha for Spam Prevention。 将 Confluence 运行在 Apache webserver 之后，然后在 Apache 服务器上创建垃圾发布者的 IP 阻止策略。 https://www.cwiki.us/display/CONF6ZH/Preventing+and+Cleaning+Up+Spam

一个 Confluence 的管理员可以配置下面的 RSS 特性： Confluence 针对 RSS 聚合返回的最大项目数量。 Confluence 针对 RSS 聚合允许的最大时间周期。 上面两个参数都是在编辑安全配置（Edit Security Configuration）界面中配置的。 如何配置 RSS： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 选择 安全配置（Security Configuration）。 选择 编辑（Edit） 针对 最大 RSS 项目（Maximum RSS Items）输入值。默认的值是 200。 针对 RSS 超时（RSS timeout）输入值。 选择 保存（Save）。 屏幕截图：配置 RSS 备注 当使用 RSS 构造器 的时候，一个用户可能会输入一个很大的数值让 RSS 返回结果，这个有可能会导致 Confluence 内存溢出。 当使用 RSS 构造器 的时候，如果一个用户输入的值大于这个配置值（或者小于 0）的时候，用户将会得到校验错的信息。 如果一个已经配置好的 RSS 设置的值超过了系统配置设置的值的时候，系统将会使用配置的值放回 RSS 中的数量。这个显示不会提供任何提示，RSS 的阅读器中也不会有任何提示。 当 Confluence 在处理 RSS 的时候超时了，所有已经处理好的 RSS 内容结果将会直接放回。 https://www.cwiki.us/display/CONF6ZH/Configuring+RSS+Feeds

Confluence 管理员可能希望为匿名用户禁用远程访问 API。这样能够避免恶意软件随意在网站进行批量修改。 希望禁用远程访问 API： 在屏幕的右上角单击 控制台按钮 ，然后选择 General Configuration 链接。 在左侧的面板中选择 安全配置（Security Configuration）。安全配置（Security Configuration） 界面将会显示出来。 选择 编辑（Edit）。 取消 匿名访问 API（Anonymous Access to API）的选择框。 选择 保存（Save）。 备注 这个界面是有关远程 API 访问的界面。如果你希望查找有关禁用匿名用户访问 Confluence，请参考 Global Permissions Overview 页面中的内容。   https://www.cwiki.us/display/CONF6ZH/Anonymous+Access+to+Remote+API

Confluence 提供了 3 个电子邮件策略，这些策略 Confluence 管理员可以通过管理员控制台（Administration Console）进行配置： 公开（Public）：电子邮件地址公开显示在网站中。 保护（Masked）： 电子邮件地址还是在网站中显示的，但是电子邮件地址被掩盖了，这样有助于电子邮件地址不被垃圾邮件收集器收集后发送垃圾邮件。 仅站点管理员可见（Only visible to site administrators）： 仅 Confluence 管理员可以看到电子邮件地址。请注意，如果你选择了这个选项，电子邮件地址将不会在用户查找组中可见（例如，当设置 Page Restrictions 的时候）。 如何配置用户电子邮件可见： 在屏幕的右上角单击 控制台按钮 ，然后选择 基本配置（General Configuration） 链接。 选择 安全配置（Security Configuration）。 选择 编辑（Edit）。在 安全配置（Security Configuration）界面中的字段是可以被编辑的。 从 用户电子邮件可见（User email visibility）下拉菜单中选择上面提到的 3 种电子策略。 选择 保存（Save）。 屏幕截图：电子邮件可见   https://www.cwiki.us/display/CONF6ZH/User+Email+Visibility

Confluence 需要一个 XSRF 令牌才能创建一个评论，这个被用来保护用户不在评论区恶意发布内容。所有 Confluence 自定义的主题都被启用了这个功能，但是如果你使用自定义主题的话，可能这些主题不支持这些安全特性，你可以禁用这个功能。  在禁用 XSRF 之前，请仔细考虑可能在你 Confluence 安装实例中可能会遇到的安全问题。 请参考 cgisecurity.com 中页面 XSRF (Cross Site Request Forgery) 。 希望为评论配置 XSRF 保护： 在屏幕的右上角单击 控制台按钮 ，然后选择 基本配置（General Configuration） 链接。 在左侧面板中选择 安全配置（Security Configuration）。 选择 编辑（Edit）。 在 XSRF 保护（XSRF Protection）部分取消选择 添加评论（Adding Comments）来禁用 XSRF 保护。 选择 保存（Save）。 https://www.cwiki.us/display/CONFLUENCEWIKI/Configuring+XSRF+Protection