名稱 | HTTP TRACE 方法 |
GPO | IIS |
類別 | 要求篩選與其他限制模組 |
描述 | ▪ 這項原則設定決定允許或拒絕使用 HTTP TRACE 方法 ▪ HTTP TRACE 方法會傳回用戶端提交的 HTTP 請求內容,攻擊者可利用此方法繞過 HttpOnly 限制,來存取 HTTP 標頭中所包含的機敏資訊 (如驗證資料或 Cookie) ▪ 預設值為允許 |
設定 | 設定路徑: IIS 管理員\伺服器\IIS\要求篩選\動作\開啟功能\HTTP指令動詞\動作\拒絕指令動詞\輸入「TRACE」 GCB 設定值: 拒絕 |