ECS Linux 系統如何關閉 TRACE_Method。
開啟 TRACE_Method 的危害
惡意攻擊者可以透過TRACE Method 回傳的資訊來了解到網站前端的一些信息,如緩存伺服器等,從而為下一步的攻擊提供便利。
惡意攻擊者可以透過 TRACE Method 進行 XSS 攻擊。
即使網站對關鍵頁面啟用了HttpOnly 頭標記和禁止腳本讀取cookie 訊息,那麼透過TRACE Method 惡意攻擊者還是可以繞過這個限制讀取到cookie 資訊。
關閉 TRACE_Method 的方法說明如下(建議在修改前設定檔做好備份):
找到伺服器設定檔 /etc/httpd/conf/httpd.conf(伺服器的設定檔的位置,與環境而定)。在檔案最後一行加上: TraceEnable off
如果你使用的是Apache:
確認rewrite 模組啟動(httpd.conf,下面一行前面沒有#):
LoadModule rewrite_module modules/mod_rewrite.so
在各虛擬主機的設定檔裡加入以下語句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]註:可以在httpd.conf裡搜尋VirtualHost確定虛擬主機的配置文件。
3、新增完畢重啟 Web 服務即可。
如果問題還未能解決,您可以到阿里雲社群進行免費諮詢,或聯絡雲端市場商家尋求協助。
以上是Linux伺服器啟用了TRACE Method後的關閉方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!
