方法一:
apache版本大於2.2,在httpd.conf中新增以下一段即可:
traceenable off(建議使用的方法,簡單明瞭,唯一需要注意apache的版本)
方法二:
如果一台 web server 支援 trace 和 / 或 track 方式,那麼它一定存在跨站指令碼漏洞,將有可能受到跨站攻擊。 trace 和 track 是用來除錯 web 伺服器連線的 http 方式。
我們通常在描述各種瀏覽器缺陷的時候,把「cross-site-tracing」(跨站攻擊)簡稱為 xst。
攻擊者可以利用此漏洞欺騙合法使用者並得到他們的私人資訊。
解決方案:禁用 trace 和 / 或 track 方式。
針對 apache,可以借助 mod_rewrite 模組來禁止 http trace 請求。只要在各虛擬主機的配置檔案裡新增如下語句:
rewriteengine on
rewritecond % ^(trace|track)
rewriterule .* – [f]
需要在安裝apache的時候編譯mod_rewrite 。
方法三:(未測試)
另外可以這麼做:
setenvifnocase request_method ^(trace|track) is_trace
order allow,deny
allow from all
deny from env=is_trace
如何防止http TRACE 跨站攻擊
什麼是跨站攻擊?如果一台webserver支援trace和 或 track 方式,那麼它一定存在跨站指令碼漏洞,將有可能受到跨站攻擊。trace和track是用來除錯web 伺服器連線的http方式。支援該方式的伺服器存在跨站指令碼 漏洞,通常在描述各種瀏覽器缺陷的時候,把 cross site t...
跨站攻擊的解決方法
轉至元資料起始 方法一 對輸入引數進行校驗,等特殊字元不允許輸入.方法二 對輸入引數輸出在頁面前就使用以下標籤進行轉義特殊字元 atg 標籤庫 dsp valueofparam boldcode valueishtml true jstl 標籤庫 c outvalue escapexml false...
跨站指令碼攻擊
跨站指令碼攻擊是眾所周知的攻擊方式之一。所有平台上的web應用都深受其擾,php應用也不例外。所有有輸入的應用都面臨著風險。webmail,code 複製內容到剪貼簿 code 複製php內容到剪貼簿 php echo name writes echo comment 這個流程對 comment及 ...