HTTP TRACEメソッドの停止(Apache)
ApacheのHTTP TRACEメソッドの停止方法が変わったらしい.
今までは, httpd.confに
RewriteEngine On
RewriteOptions inherit
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
を加えて対策を行っていた. 参考
それが, Available 1.3.34以降および2.0.55以降では,
TraceEnable Off
をつけるだけで, 対策できるようになった.
TraceEnableディレクティブの説明はまだ日本語版の
マニュアルにはないようだが, 英語版のマニュアルには記述がある.
(1.3.x用, 2.0.x用)
コメントする