如何在 IIS 7.5 中禁用 TRACE/TRACK

如何在 IIS 7.5 中禁用 TRACE/TRACK

摘自本文:在 IIS 中禁用跟踪/追踪 | Techstacks HOWTO 的,我了解到您需要安装 UrlScan Filter 才能在 IIS 7.5 上禁用 TRACE/TRACK 请求。但是,我在安装 UrlScan Filter 时遇到了麻烦(我不是 .NET 开发人员)——Microsoft UrlScan Filter v3.1 安装向导失败,并显示消息“需要 IIS Metabase”|服务器故障

还有其他方法可以禁用 TRACE/TRACK 请求吗?

答案1

在 IIS 7.0 或更高版本中,它不再依赖 UrlScan。您可以配置<requestFiltering>为 DENY 动词 TRACE。例如,在您的 web.config 中:

<configuration>
   <system.webServer>
      <security>
         <requestFiltering>
            <verbs>
               <add verb="TRACE" allowed="false" />
            </verbs>
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>

您可以在此处找到详细信息:https://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/requestFiltering/verbs/

答案2

如果有人仍然难以禁用 TRACE/TRACK 动词,请按照以下说明通过 IIS 管理器执行此操作:

  1. 转至 IIS 管理器
  2. 点击网站名称
  3. 双击“请求过滤”(如果您没有看到请求过滤图标,请安装它
  4. 转到“HTTP 动词”选项卡
  5. 从操作菜单中单击“拒绝动词”。输入“TRACE”。单击“确定”
  6. 从操作菜单中单击“拒绝动词”。输入“TRACK”。单击“确定”

请注意,在 IIS 7 之后,TRACK 动词默认是禁用的。除 IIS 8.5 外,TRACE 也被禁用:

在此处输入图片描述

有关此主题的更多信息:如何在 IIS 中禁用 HTTP TRACK 和 TRACE 动词?

相关内容