TRACEメソッドを使用不可能にする のバックアップソース(No.1)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• TRACEメソッドを使用不可能にする へ行く。
  • 1 (2008-05-01 (木) 19:10:35)
  • 2 (2008-05-01 (木) 20:00:45)
  • 3 (2009-03-25 (水) 17:17:21)

*TRACEメソッドの無効化 [#c58e0b3d]
#CONTENTS
**概要 [#g4ab78e8]
TRACEメソッドを使用したCross Site Tracingを防ぐため、TRACEメソッド自体を使用不可能にする。~
Apacheでは1.3.34以降、2.0.55以降、2.2以降でTRACEメソッドを禁止設定できる「TraceEnable」機能をサポートしている。

**TraceEnableの設定 [#w2be194f]
httpd.confに以下を追加し、apacheを再起動することで反映される。

 TraceEnable Off

**TRACEメソッドの確認 [#j590be37]
TRACEメソッドの有効/無効はOPTIONSメソッドを使用することで確認できる。

-手順~
telnetにて80番ポートへ接続する

 # telnet localhost 80
 Trying 127.0.0.1...
 Connected to localhost.localdomain (127.0.0.1).
 Escape character is '^]'.

OPTIONSメソッドにて有効なメソッドを確認

 OPTIONS / HTTP/1.0


-TRACEメソッドが有効な場合
 HTTP/1.1 200 OK
 Date: Thu, 01 May 2008 09:06:06 GMT
 Server: Apache
 Allow: GET,HEAD,POST,OPTIONS,TRACE
 Content-Length: 0
 Connection: close
 Content-Type: text/html
 
 Connection closed by foreign host.

-TRACEメソッドが無効な場合
 HTTP/1.1 200 OK
 Date: Thu, 01 May 2008 09:04:37 GMT
 Server: Apache
 Allow: GET,HEAD,POST,OPTIONS
 Content-Length: 0
 Connection: close
 Content-Type: text/html
 
 Connection closed by foreign host.