gpt4 book ai didi

apache - 已启用不安全的 HTTP 方法 - 如何禁用

转载 作者:行者123 更新时间:2023-12-03 13:55:09 24 4
gpt4 key购买 nike

我们正在我们的应用程序 URL 上运行理性应用程序扫描,它返回以下结果:

看来
Web 服务器配置为允许以下一种(或多种)HTTP 方法
(动词)
- 删除
- 搜索
- 复制
- 移动
- PROPFIND
- PROPPATCH
- MKCOL
- 锁
- 开锁
- 放

为了解决这个问题,我添加了一个 RewriteRule 来禁止任何这些方法。现在,当我手动测试时,我得到响应代码 403:

curl -X PUT https://someurl.com/somecontext/somepage.xhtml

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /somecontext/somepage.xhtml
on this server.</p>
</body></html>

但理性的应用程序扫描仍然显示这是一个问题。有没有人遇到过同样的问题。此 URL 通过 AJP 转到 tomcat 后端。将不胜感激这个解决方案。

PS:我想到了 Limit 和 LimitExcept 但我不确定它是否会阻止通过 mod_proxy 或 mod_jk 的请求

最佳答案

最终奏效的简单解决方案

RewriteEngine On
RewriteCond %{REQUEST_METHOD} !^(GET|POST|HEAD)
RewriteRule .* - [R=405,L]

这让应用程序扫描愉快(我也是)

关于apache - 已启用不安全的 HTTP 方法 - 如何禁用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15971276/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com