文档

HTTP Trace 方法包含实例信息

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

了解如何通过为每个启用的​ vhost设置 TraceEnable off来跟踪包含实例信息的HTTP方法。

描述 description

环境

Experience Manager

问题/症状

进行了渗透测试,发现以下中等风险: 启用了不必要的HTTP方法TRACE

该站点是使用域标头请求的,但 HTTP 响应包含有关服务器名称的信息。这允许攻击者查看原始主机名和 AEM 实例名。响应标头来自负载平衡器。是否可以在 HTTP 响应中屏蔽 X-Original-Host?

解决方法 resolution

解决方法是为每个启用的 vhost 关闭 TraceEnable,如下所示:


<虚拟主机*:80>
ServerName“customer-publish”
ServerAlias "customer.com"
TraceEnable关闭

< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f