乐考论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 183|回复: 0

[Apache] 如何关闭Apache服务器的TRACE请求

[复制链接]

40

主题

53

帖子

379

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
379
发表于 2017-1-1 16:07:18 | 显示全部楼层 |阅读模式

TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。

TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

如何关闭Apache的TRACE请求
•虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求:
RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* - [F]
•服务器用户在httpd.conf尾部添加如下指令后重启apache即可:
TraceEnable off   

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表
鲁ICP备16044790-1号 Copyright © 2008-2020 乐考网(www.5Lekao.com) 版权所有
| QQ| 乐考论坛