我不断收到 Coldfusion 服务器中的 HTTP TRACE / TRACK Methods Enabled 漏洞。任何解决此问题的建议都会有很大帮助。
问问题
768 次
1 回答
0
全面禁止这些方法更多的是 HTTP 服务器(IIS、Apache、NGINX)而不是应用程序服务器(Coldfusion、Lucee)。可能存在合法使用这些 HTTP 动词的用例。
但是,您可以使用几行代码 从onRequestStart方法中处理此问题。Application.cfc
var disallowVerbs = [ "TRACE", "TRACK" ];
if( arrayContains( disallowVerbs, cgi.request_method ) ){
cfheader( statusCode=403, statusText="Method Not Allowed" );
}
于 2017-11-15T21:36:22.533 回答