進(jìn)行“360網(wǎng)站安全檢測”時(shí)發(fā)現(xiàn)其有一項(xiàng)輕重漏洞提示：“[輕微]發(fā)現(xiàn)服務(wù)器啟用了TRACE Method”

360也提供了漏洞修復(fù)的解決方案

1）2.0.55以上版本的Apache服務(wù)器，可以在httpd.conf的尾部添加：
TraceEnable off

2）如果你使用的是Apache：
-   確認(rèn)rewrite模塊激活（httpd.conf，下面一行前面沒有#）：
LoadModule rewrite_module modules/mod_rewrite.so

- 在各虛擬主機(jī)的配置文件里添加如下語句：
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]

注：可以在httpd.conf里搜索VirtualHost確定虛擬主機(jī)的配置文件。

但是我同時(shí)查閱了 Apache 官網(wǎng)對 TraceEnable 參數(shù)（控制是否啟用 Trace method 的 Apache 配置選項(xiàng)）的描述。在 Apache 2.4（現(xiàn)在主流的應(yīng)該還是 2.2 版） 的文檔中增加了下面的說明：

Despite claims to the contrary, TRACE is not a security vulnerability and there is no viable reason for it to be disabled. Doing so necessarily makes your server non-compliant.

翻譯過來就是：

雖然有很多聲明與此相反，TRACE 并不是一個(gè)安全漏洞，并且也沒有可行的理由來禁用它。這樣做必然使你的服務(wù)器兼容性變差。

 

所以我決定遵照 Apache 的提醒繼續(xù)保持 TraceEnable 參數(shù)為默認(rèn)的 on 狀態(tài)，使 Trace Method 可用。

名稱欄目：“發(fā)現(xiàn)服務(wù)器啟用了 TRACE Method” TRACE應(yīng)該關(guān)閉還是開啟？
網(wǎng)站路徑：http://www.rwnh.cn/news4/167604.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供ChatGPT、微信小程序、網(wǎng)站營銷、微信公眾號、Google、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)