我一直在Coldfusion服务器中获取HTTP TRACE / TRACK方法启用漏洞。任何解决此问题的建议都会有很大的帮助。
答案 0 :(得分:0)
对于HTTP服务器(IIS,Apache,NGINX)而言,全面禁止这些方法比应用服务器(Coldfusion,Lucee)更令人担忧。可能存在这些HTTP动词可能合法使用的用例。
但是,您可以使用几行代码在onRequestStart Application.cfc方法中处理此问题。
var disallowVerbs = [ "TRACE", "TRACK" ];
if( arrayContains( disallowVerbs, cgi.request_method ) ){
cfheader( statusCode=403, statusText="Method Not Allowed" );
}