ModSecurity-Regel zum Nichtscannen von URIs

Ich habe Schwierigkeiten beim Erstellen einer neuen Mod-Sicherheitsregel 2.5.

Meine Bereitstellung: Apache-Server, eingerichtet als Reverse-Proxy. (Der Apache-Webserver hostet die Website also nicht. Stattdessen leite ich die Anforderungen an einen anderen Server weiter, der die Webanforderungen beantwortet.)

Der Webserver verwendet Authentifizierungstoken, um die Website-URL in eine sichere URL umzuschreiben.

75.75.75.75 - - [01/May/2015:10:55:14 -0400] "GET /record/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

Das Problem:

Modsecurity scannt derzeit die URI. Aufgrund der Natur der zufälligen URIs wurden viele Fehlalarme erzeugt. Um dies zu verhindern, möchte ich alle URIs vom Scannen ausnehmen.

Da das Umschreiben, die Umleitung und das Authentifizierungstoken alle auf dem Webserver generiert werden (und das soll auch so bleiben), wie informiere ich die Mod-Sicherheit darüber, dass diese Header legitim sind, und scanne sie nicht?

75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /thing.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328 HTTP/1.1" 200 15100 "https://example.org/example.aspx?XOW%5eLdz%3c2%2f1%2f42%2527kbmhtbffJfx%3e0%2527qpkf%5ejc%3e2%2527Cfruho%60uhpmXOW%5eLdz%3c2%2f1%2f42%2527RptsbfVQU%60Jfx%3e193%2527qpkf%5ejc%3e2%2527RptsbfVQU%60Ejqts%60Bihmc%60Mblf%3cSdrtfru%1fTbpqjmh"

 75.75.75.75 - - [01/May/2015:10:55:52 -0400] "GET /example/example.svc/js HTTP/1.1" 200 1786 "https://example.org/example.aspx?XOW%5eLdz%3c375%25cddnnd%60ttds%5ebt%60he%3c5%2f58328"