在 Apache 伺服器上停用 OPTIONS HTTP 方法有什麼影響?

tag-icon tag-icon linux apache-http-server
在 Apache 伺服器上停用 OPTIONS HTTP 方法有什麼影響?

為了解決 OPTIONSBLEED 漏洞,我正在考慮各種方法。

停用 OPTIONS HTTP 方法。申請 CVE-2017-9798。 CVE-2017-9798 聽起來不像是長期解決方案,因為它只是保護伺服器免受 .htaccess 檔案的利用。

更長期的解決方案是停用 Apache Box 上的 OPTIONS HTTP 方法。

雖然,我不確定從客戶的角度來看,停用 OPTIONS HTTP 方法會產生什麼影響?

請指出我正確的方向。

答案1

建議的補救措施是更新您的 Apache 伺服器軟體。以下是一位 Apache 開發人員的引述:分析了漏洞:

如果不停用 .htaccess 檔案、修補或升級至版本 2.4.28,則無法避免不受信任/惡意的 .htaccess 作者的此缺陷。

禁用OPTIONS不會解決問題。事實上,這實際上可能會讓情況變得更糟,因為問題是由.htaccess根 Web 伺服器未配置的檔案中的 HTTP 方法觸發的。

相關內容