在 Apache 服务器上禁用 OPTIONS HTTP 方法会产生什么影响?

tag-icon tag-icon linux apache-http-server
在 Apache 服务器上禁用 OPTIONS HTTP 方法会产生什么影响?

为了解决OPTIONSBLEED漏洞,我正在考虑各种方法。

禁用 OPTIONS HTTP 方法。应用 CVE-2017-9798。CVE-2017-9798 听起来不像是一个长期解决方案,因为它只是保护服务器免受 .htaccess 文件的攻击。

一个更长期的解决方案是在 Apache Boxes 上禁用 OPTIONS HTTP 方法。

但是,我不确定如果禁用 OPTIONS HTTP 方法,从客户的角度来看会有什么影响?

请给我指明正确的方向。

答案1

建议补救措施是更新您的 Apache 服务器软件。下面是 Apache 开发人员的引言,他分析了漏洞

如果不禁用 .htaccess 文件、打补丁或升级至 2.4.28 版本,就无法避免不受信任/恶意的 .htaccess 作者造成的此缺陷。

禁用OPTIONS不会解决问题。事实上,它实际上可能会使问题变得更糟,因为问题是由文件中.htaccess未由根 Web 服务器配置的 HTTP 方法触发的。

相关内容