Ambiente
Experience Manager
Problema/Sintomas
Um teste de intrusão foi realizado e o seguinte risco médio foi detectado: TRACE de método HTTP desnecessário habilitado.
O site foi solicitado com o cabeçalho do domínio, mas a resposta HTTP contém informações sobre o nome do servidor. Isso permite que invasores vejam o nome original do host e o nome da instância do AEM. O cabeçalho de resposta vem de balanceadores de carga. É possível mascarar o X-Original-Host nas respostas HTTP?
A solução é definir o TraceEnable como “off” para cada vhost ativado, conforme abaixo:
…
VirtualHost *:80
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable off
…
/VirtualHost