个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
29
4
我的 httpd.conf 文件中有当前配置。我正在尝试使用 HTTP 动词篡改来消除身份验证绕过漏洞。我只想允许某些 HTTP 请求 header ,下面示例中的 Get 和 Post,不同的 header 应该会引发错误。
DocumentRoot "c:/dev"
<Directory "C:/dev">
Options Indexes FollowSymLinks MultiViews Includes
AllowOverride Limit
<LimitExcept GET POST>
Order deny,allow
Deny from all
</LimitExcept>
Order allow,deny
Allow from all
</Directory>
此配置仍然允许其他 http 请求 header ,如 put、选项等。我正在使用 postman api 来测试我的更改。请帮忙!
最佳答案
这是限制 GET/POST/OPTIONS 的方法。注意:NIST Stigs V-26396 声明这不应应用于根目录,而应仅应用于其他目录,例如我的示例 (/etc/apache2/apache2.conf):
看来这也行得通:
<Location /var/www/>
Order allow,deny
Allow from all
<LimitExcept POST GET>
Deny from all
</LimitExcept>
</Location>
<Location /usr/share/>
Order allow,deny
Allow from all
<LimitExcept POST GET>
Deny from all
</LimitExcept>
</Location>
进一步阅读:
关于Apache LimitExcept 仅适用于 GET 和 POST 方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40914743/
29
4
0
我的 httpd.conf 文件中有当前配置。我正在尝试使用 HTTP 动词篡改来消除身份验证绕过漏洞。我只想允许某些 HTTP 请求 header ,下面示例中的 Get 和 Post,不同的 he
我试图满足以下要求(在 Apache HTTPD 2.2 中): 如果 HTTP 方法不是 HEAD、POST 或 GET,则无论采用以下哪种方式,都不允许访问。 如果用户是内部用户,则无需基本身份验
我是一名优秀的程序员,十分优秀!