метод TRACE

[Разгильдяй]

метод TRACE

Описание

С помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтовый скриптинг.
Решение

Запретить выполнение этого метода.


Подскажите как запретить выполнение этого метода в линухе?

 

[skynet80]

Disable TRACE (used for cross-site scripting)

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* [F]

Remember to place these directives in a container or outside all containers.
Взято здесь:http://www.debian-administration.org/articles/136

 

[Разгильдяй]

Автор оригинала: skynet80
Disable TRACE (used for cross-site scripting)

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* [F]

Remember to place these directives in a container or outside all containers.
Взято здесь:http://www.debian-administration.org/articles/136

других способов нет?

 

[ys]

А через limit: ?

<Limit GET TRACE>
Order deny,allow
Deny from all
</Limit>

 

[alexhemp]

ys

А в документации смотрели?

http://httpd.apache.org/docs/1.3/mod/core.html#limit

The method names listed can be one or more of: GET, POST, PUT, DELETE, CONNECT, OPTIONS, PATCH, PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, and UNLOCK. The method name is case-sensitive. If GET is used it will also restrict HEAD requests. The TRACE method cannot be limited.

 

[Разгильдяй]

Тогда какие еще есть варианты?

 

[camka]

SetEnvIfNoCase Request_Method ^TRACE$ bad_method
Order Allow,Deny
Allow from All
Deny from env=bad_method

 

[alexhemp]

Разгильдяй
camka

А апач вообще что делает при запросе с методом TRACE?
Он вообще его обрабатывает? Что-то я в документации ничего не нашел по этому поводу.