Ambiente
Experience Manager
Problema/Sintomi
È stato eseguito un pentest ed è stato trovato il seguente rischio medio: Metodo HTTP TRACE non necessario abilitato.
Il sito è stato richiesto con l’intestazione del dominio, ma la risposta HTTP contiene informazioni sul nome del server. Questo consente agli utenti malintenzionati di vedere il nome host originale e il nome dell’istanza AEM. L’intestazione della risposta proviene da load balancer. È possibile mascherare l’intestazione X-Original-Host nelle risposte HTTP?
La soluzione è quella di disattivare TraceEnable per ogni vhost attivato, come indicato di seguito:
…
VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off
…
/VirtualHost