启用不安全的HTTP方法-正确修复方法-apache

启用不安全的HTTP方法-正确修复方法-apache

@Time : 2021/5/17 下午5:04
@Author :

开始编辑～

说明

apache默认安装之后，会开启多个http方法,
网络上有好多个修复方式是通过过滤的形式进行限制，但是治标不治本

如果只使用过滤http方法进行限制会出现下列问题

使用过滤限制http请求方法的步骤
在httpd.conf配置文件中取消mod_rewrite.so模块的注释
#LoadModule rewrite_module modules/mod_rewrite.so

然后填写下列内容

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]

当重启apache服务之后，再次构造OPTIONS方法会出现403错误，这样问题就解决了吗？

这时脑子灵光一闪，输入不存在的http方法试试？

这不对啊，这是什么问题？怀着好奇的心思，恢复了apache默认配置，仍然是这个问题

这样一来，当出现不存在的http方法时，apache也会打印如OPTIONS的作用一样的信息

正确修复方式

取消配置文件中mod_allowmethods.so模块的注释
#LoadModule allowmethods_module modules/mod_allowmethods.so

在配置文件最后添加下列内容

AllowMethods GET POST

重启服务之后再次验证,http方法果然减少，但还是有TRACE方法存在，

继续在配置文件后添加下列内容

TraceEnable off

再次测试,此时已全部解决，如有疑问，可以留言，我们继续讨论

乾坤未定，你我皆是黑马