526互联

IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】

发布时间 2023-09-20 09:31:01作者: WilliamShaw

 

TRACE和TRACK是用于调试Web服务器连接的HTTP方法。
直接在网站Web.config文件中进行如下操作:在Web.config中的<system.webServer>节点内添加以下配置即可:

<security>
<requestFiltering>
<verbs>
<add verb="OPTIONS" allowed="false" />
<add verb="Trace" allowed="false" />
</verbs>
</requestFiltering>
</security>

 

 

<?xml version="1.0" encoding="UTF-8"?>
<configuration>

    <system.webServer>
        <staticContent>
            <mimeMap fileExtension=".iso" mimeType="application/octet-stream" />
        </staticContent>
        <directoryBrowse enabled="false" />

        <security>
            <requestFiltering>
                <verbs>
                    <add verb="OPTIONS" allowed="false" />
                    <add verb="Trace" allowed="false" />
                </verbs>
            </requestFiltering>
        </security>

    </system.webServer>
</configuration>

 

IIS 里面有个请求筛选 选中tab标签的HTTP谓词,点击右侧“拒绝谓词”,填写Trace,确定即可,再添加拒绝谓词“OPTIONS”,确定即可。 也可以