远端WWW服务支持TRACE请求

远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。

管理员应禁用WWW服务对TRACE请求的支持。

IIS

    URLScan

Apache

    Source Code Modification

    Mod_Rewrite Module

        RewriteEngine on
        RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)
        RewriteRule .* - [F]

另一种方法：

在主配置文件httpd.conf中添加配置：

TraceEnable off

可以直接配置在ServerRoot参数下面。