Для борьбы с эксплойтом OPTIONSBLEED я рассматриваю различные методы.
Чтобы отключить метод OPTIONS HTTP. Чтобы применить CVE-2017-9798. CVE-2017-9798 не звучит как долгосрочное решение, поскольку он просто защищает сервер от эксплуатации файлов .htaccess.
Более долгосрочным решением является отключение метода HTTP OPTIONS на серверах Apache.
Хотя я не уверен, как повлияет отключение метода HTTP OPTIONS с точки зрения клиента?
Пожалуйста, укажите мне правильное направление.
решение1
Theрекомендуемое исправлениеобновить программное обеспечение сервера Apache. Ниже приведена цитата разработчика Apache, которыйпроанализировали уязвимость:
Избежать этого дефекта при использовании недоверенных/вредоносных авторов .htaccess без отключения файлов .htaccess, исправления или обновления до версии 2.4.28 невозможно.
Отключение OPTIONSне исправит проблему. На самом деле, оно может даже ухудшить ее, поскольку проблема вызвана наличием HTTP-методов в файле, .htaccessкоторые не настроены корневым веб-сервером.