HTTP Trace 方法包含实例信息

了解如何通过设置来跟踪包含实例信息的HTTP方法 TraceEnable “关闭”以启用每个 vhost。

描述 description

环境

Experience Manager

问题/症状

进行了渗透测试,发现以下中等风险: 启用了不必要的HTTP方法TRACE.

该站点是使用域标头请求的,但 HTTP 响应包含有关服务器名称的信息。这允许攻击者查看原始主机名和 AEM 实例名。响应标头来自负载平衡器。是否可以在 HTTP 响应中屏蔽 X-Original-Host?

解决方法 resolution

解决方法是为每个启用的 vhost 关闭 TraceEnable,如下所示:


< 虚拟主机*:80>
ServerName“customer-publish” ServerAlias“customer.com” TraceEnable关闭……
< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f