如何防止http TRACE 跨站攻击

2009 年 07 月 30 日

9758 次浏览

774字数

你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把&quot;Cross-Site-Tracing&quot;简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决方案: 禁用这些方式。 如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] 如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求，或者只开放满足站点需求和策略的方式。 如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句: &lt;Client method=&quot;TRACE&quot;&gt; AuthTrans fn=&quot;set-variable&quot; remove-headers=&quot;transfer-encoding&quot; set-headers=&quot;content-length: -1&quot; error=&quot;501&quot; &lt;/Client&gt; 如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更低的版本, 编译如下地址的NSAPI插件: <a class="no-external-link" href="http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603" target="_blank">http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50603</a>