文件

HTTP Trace 方法包含執行個體資訊

Last update: Tue Jul 16 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

瞭解如何透過為每個啟用的​ vhost設定 TraceEnable 關閉,來追蹤包含執行個體資訊的HTTP方法。

說明 description

環境

Experience Manager

問題/症狀

已執行滲透測試,發現下列中級風險: 已啟用不必要的HTTP方法TRACE

該網站是使用網域標頭要求的,但 HTTP 回應包含伺服器名稱的資訊。這可讓攻擊者查看原始主機名稱和 AEM 執行個體名稱。回應標頭來自負載平衡器。是否可以遮蔽 HTTP 回應中的 X-Original-Host?

解決方法 resolution

解決方案是為每個已啟用的 vhostTraceEnable 設定為 off,如下所示:


< VirtualHost *:80>
ServerName"customer-publish"
ServerAlias "customer.com"
TraceEnable關閉

< /VirtualHost>

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f