TRACEメソッドを使用不可能にする のバックアップ(No.1)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- TRACEメソッドを使用不可能にする へ行く。
- 1 (2008-05-01 (木) 19:10:35)
- 2 (2008-05-01 (木) 20:00:45)
- 3 (2009-03-25 (水) 17:17:21)
TRACEメソッドの無効化 †
概要 †
TRACEメソッドを使用したCross Site Tracingを防ぐため、TRACEメソッド自体を使用不可能にする。
Apacheでは1.3.34以降、2.0.55以降、2.2以降でTRACEメソッドを禁止設定できる「TraceEnable」機能をサポートしている。
TraceEnableの設定 †
httpd.confに以下を追加し、apacheを再起動することで反映される。
TraceEnable Off
TRACEメソッドの確認 †
TRACEメソッドの有効/無効はOPTIONSメソッドを使用することで確認できる。
- 手順
telnetにて80番ポートへ接続する
# telnet localhost 80 Trying 127.0.0.1... Connected to localhost.localdomain (127.0.0.1). Escape character is '^]'.
OPTIONSメソッドにて有効なメソッドを確認
OPTIONS / HTTP/1.0
- TRACEメソッドが有効な場合
HTTP/1.1 200 OK Date: Thu, 01 May 2008 09:06:06 GMT Server: Apache Allow: GET,HEAD,POST,OPTIONS,TRACE Content-Length: 0 Connection: close Content-Type: text/html Connection closed by foreign host.
- TRACEメソッドが無効な場合
HTTP/1.1 200 OK Date: Thu, 01 May 2008 09:04:37 GMT Server: Apache Allow: GET,HEAD,POST,OPTIONS Content-Length: 0 Connection: close Content-Type: text/html Connection closed by foreign host.
