Saya menggunakan Apache 2.0 sebagai server HTTP dan tujuan khusus klien HTTP berbasis Perl. Sampai sekarang saya menonaktifkan metode TRACE dan TRACK menggunakan konfigurasi berikut di file httpd.conf:
Tulis ulang pada
RewriteCond% {REQUEST_METHOD} ^ (TRACE | TRACK)
RewriteRule. * - [F]
Pertanyaan
1) Untuk meningkatkan kinerja, dapatkah saya mengganti konfigurasi sebelumnya dengan yang berikut?
traceEnable off
2) Dapatkah perintah "traceEnable off" memastikan bahwa kedua metode TRACE dan TRACK akan dinonaktifkan?
3) Akhirnya, apakah saya perlu menambahkan TRACE / TRACK menonaktifkan konfigurasi di file httpd.conf karena server HTTP hanya dapat diakses oleh klien HTTP berbasis-Perl?
curl -X TRACK
untuk menguji apakah Apache bahkan menanggapi TRACK sama sekali tanpa konfigurasi? Lihat blogs.plexibus.com/2009/01/15/rest-esting-with-curl untuk info tentang cara menggunakan CURL untuk menguji metode HTTP lainnya.Kasus A: Arahan TRACE
Menggunakan perintah "traceEnable on" di file httpd.conf dan menjalankan perintah curl berikut:
Jawabannya adalah:
Di sisi lain, jika "traceEnable off" perintah curl sebelumnya kembali:
yang berarti bahwa arahan mengaktifkan TRACE dinonaktifkan. Jadi, saya pikir perintah "traceEnable off" berfungsi dengan benar.
Kasus B: Arahan TRACK
Menggunakan perintah "traceEnable on" di file httpd.conf dan menjalankan perintah curl berikut:
Jawabannya adalah:
Berikut ini adalah kesimpulan dari testcase sebelumnya: 501 Metode Tidak Diimplementasikan . Jika Anda mengirim permintaan TRACE ke Apache, itu akan mengembalikan bahwa metode ini tidak diterapkan. Jadi, saya pikir kita tidak perlu khawatir ... Ini dikonfirmasi oleh uji kasus berikutnya.
Jika "traceEnable off" maka permintaan TRACK sebelumnya mengembalikan pesan "tidak diimplementasikan" yang sama.
Menurut http://publib.boulder.ibm.com/httpserv/ihsdiag/http_trace.html , meskipun server apache tidak mendukung metode TRACK secara asli, mungkin modul plug-in untuk memberikan dukungan untuknya. Untuk menonaktifkan kemampuan ini untuk modul plug-in, selain menonaktifkan metode TRACE kita mungkin harus menonaktifkan metode TRACK menggunakan modul Rewrite.
Tetapi jika Anda tidak menginstal plug-in TRACK ke Apache, tidak ada masalah keamanan. Apakah asumsi ini valid?
sumber