Apache服务器禁用TRACE Method防范XSS跨站攻击

小天天天天　　　 PHP　　　 999+ 次　　　 2017-06-12 03:22:31

Apache服务器启用了TRACE Method。

1.TRACE_Method是HTTP（超文本传输）协议定义的一种协议调试方法，该方法会使服务器原样返回任意客户端请求的任何内容。

2. 由于该方法会原样返回客户端提交的任意数据，因此可以用来进行跨站脚本简称XSS攻击，这种攻击方式又称为跨站跟踪攻击简称XST。

危害：

1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息，如缓存服务器等，从而为下一步的攻击提供便利。

2.恶意攻击者可以通过TRACE Method进行XSS攻击

3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息，那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。

解决方案：

在httpd.conf的尾部添加：

TraceEnable off

如果你觉得本篇文章对您有帮助,请打赏作者

上一篇: Apache httpd.conf配置文件AllowOverride参数详解

下一篇: PHP中有关PDOmysql相关的笔记收集



最新评论

暂无评论

热门文章

置顶推荐

[01-18] AWS S3 存储桶管理：PHP SDK 教程
[10-19] php 接入微信小程序虚拟支付功能
[06-30] 在Laravel外独立使用Eloquent
[06-30] Laravel cast array json数据存数据库时unicode 编码问题和update更新不触发数据转换
[03-13] 一个非常好的行为验证码项目！
[12-14] 限流算法-常见的4种限流算法
[12-14] PHP中fwrite与file_put_contents的区别
[12-14] PHP计算两组经纬度坐标之间的距离
[12-14] PHP常见的数组遍历方式
[12-13] PHP抽奖代码可定中奖概率
[12-09] PHP 字符串补零: str_pad函数详解
[12-09] php的call_user_func函数详解
[12-09] PHP实现微信支付及退款流程实例
[12-09] PHP把array转为xml:自定义函数arrayToXml实例
[12-09] PHP把xml转为array:自定义函数xmlToArray实例
[12-09] PHP全栈开发工程师学习路线图

最新评论

小天天天天 262天前

在文章: 为什么 MySQL 不建议使用 NULL 作为列默认值

中评论: [em_1]
小天天天天 858天前

在文章: nuxt路由跳转传参的几种方式

中评论: [em_63][em_63]
小黄牛 1456天前

在文章: PHP+RabbitMQ消息发布与订阅

中评论: PHPLAF v.1.0.10 正式发布了！开发文档：https://blog.junphp.com/apiword.jsp
傍晚升起的太阳 1574天前

在文章: 使用PHP-redis操作Redis

中评论: 大佬牛逼，博客很多干货，redis操作总结的很全,可以当手册用
是他是他就是他 1736天前

在文章: 服务器中部署多个laravel应用时配置读取错乱的问题

中评论: 写的很棒！[em_63][em_63][em_63]受教了
是他是他就是他 1895天前

在文章: Swoole实践：7-使用Websocket上传文件(1)

中评论: 非常赞的文章！[em_63]
移动攻城师鹏鹏 2017天前

在文章: Swoole实践：3-使用Swoole批量发送邮件

中评论: 前来膜拜大佬儿
小滴 2053天前

在文章: 发现ThinkPHP3.2.3不报错，显示空白页面问题解决办法

中评论: 无缘无故变白了,已经解决,谢谢
小滴 2054天前

在文章: APP模拟弱网测试-Fiddler+clumsy（windows平台下）

中评论: 学习了
小天天天天 2129天前

在文章: 做一个app需要多少钱...

中评论: 绝不是危言耸听

网站数据

网站文章数：481

今日UV/PV/IP：15/15/15

昨日UV/PV/IP：22/26 /22

热门标签

laravel python mysql nuxt redis ArrayBuffer frp php java linux git 小程序

友情链接

AI助手

PHP武器库

程序猴-免费短网址生成器

一点PHP

白俊遥博客

PHP技术博客

Laravel速查表

陈辉的博客

TOP