apache 禁止trace或track防止xss攻击

回复 收藏

TRACE和TRACK是用来调试web服务器连接的HTTP方式。

支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

禁用trace可以使用rewrite功能来实现

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^TRACE

RewriteRule .* - [F]

或者还可以直接在apache的配置文件中配置相应参数

TraceEnable off

2012-05-27 10:02 举报
已邀请:
0

qin521ne

赞同来自:

学习了
0

阿杰

赞同来自:

RewriteCondi %{REQUEST_METHOD} ^TRACE
  多了个  i
0

清茶一杯

赞同来自:

阿杰 发表于 2015-12-7 20:14
RewriteCondi %{REQUEST_METHOD} ^TRACE
  多了个  i 吧

Invalid command 'RewriteCondi', perhaps misspelled or defined by a module not included in the server configuration
多了一个i
0

Coohx - 小运维

赞同来自:

trace
0

kolons

赞同来自:

这个配置好后有什么方式可以看到效果吗?
0

llill

赞同来自:

非常感谢分享。

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: