TRACEなどのリクエストメソッドの禁止
ほぼ同じ内容のエントリを見つけたけど、よく忘れるのでここにメモしておく。
最近の傾向として、ウェブアプリケーションの導入前にセキュリティ審査が入ることが多くなったのだが、その際にApacheのバージョンが2.0.55より前の場合は
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) RewriteRule .* - [F] </IfModule>
こんな感じでmod_rewriteを使ってTRACE(とかTRACKとかOPTIONS)メソッドを蹴るようにしないといけない。まあ、TRACKはIISでサポートされているけどApacheにはない(RFC2616のHTTP1.1の仕様にもない)のでいいんだけれども。
Apacheが2.0.55以降だと
TraceEnable Off
で済んでしまう。
コメントを残す