TRACE方法是HTTP(超文本傳輸)協議定義的一種協議調試方法,該方法使得服務器原樣返回任何客戶端請求的內容。
啟用TRACE方法存在如下風險:
1、惡意攻擊者可以通過TRACE方法返回的信息了解到網站前端的某些信息,如緩存服務器等,從而為進一步的攻擊提供便利。
2、惡意攻擊者可以通過TRACE方法進行XSS攻擊。
3、即使網站對關鍵頁面啟用了HttpOnly頭標記和禁止腳本讀取cookie信息,但是通過TRACE 方法惡意攻擊者還是可以繞過這個限制讀取到cookie信息。
解決方法
1、2.0.55以上的Apache服務器,在httpd.conf的尾部添加:TraceEnable off。
2、如果使用的是Apache:
- 確認rewrite模塊激活(httpd.conf,下面一行前面沒有#):
LoadModule rewrite_module modules/mod_rewrite.so
- 在各虛擬主機的配置文件里添加如下語句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
