如何防止http TRACE 跨站攻击

adam_chenzh

用apache+mysql+php在win2003架设web服务器，扫描服务器：
提示  www (80/tcp)
http TRACE 跨站攻击

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。

支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把"Cross-Site-Tracing"简称为XST。

攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。

解决方案: 禁用这些方式。


如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
可是我在apache配置文件里加入如上语句，restart  Apache提示出错，请问如何防止http TRACE 跨站攻击

HonestQiao

以上你的服务器需要支持rewrite模块。

另外可以这么做：
SetEnvIfNoCase Request_Method ^(TRACE|TRACK) IS_TRACE
<Directory /docroot>
Order Allow,Deny
Allow from all
Deny from env=IS_TRACE
</Directory>

adam_chenzh

谢谢，可以了

boyliangtian

我的还是不行啊，两种方法都不行
扫完之后还提示有http TRACE 跨站攻击

ashchen

TraceEnable off

panzt

Zend framework 里面的View类有一个函数escape是用来防止跨站恶意攻击的，用在构造response主体时，用该函数处理输出的html代码，你可以拿过来用

panzt

The most commonly used helper function is escape(). This function is used to ensure that the output is
HTML-safe and helps to secure your site from Cross-Site Scripting (XSS) attacks. All variables that are not
expected to contain displayable HTML should be displayed via the escape() function.

panzt

Zend Framework in Action 中的第二章解释的