Iis

如何在 IIS 7.5 中禁用 TRACE/TRACK

  • July 25, 2019

來自這篇文章:禁用 IIS 中的跟踪/跟踪 | Techstacks HOWTO 的,我知道你需要安裝 UrlScan 過濾器來禁用 IIS 7.5 上的 TRACE/TRACK 請求。但是,我在安裝 UrlScan 過濾器時遇到了問題(我不是 .NET 開發人員)—— Microsoft UrlScan 過濾器 v3.1 安裝嚮導失敗,並顯示消息 IIS Metabase is required | 伺服器故障

還有其他方法可以禁用 TRACE/TRACK 請求嗎?

在 IIS 7.0 或更高版本上,它不再依賴 UrlScan。您可以配置<requestFiltering>為拒絕動詞 TRACE。例如,在您的 web.config 中:

<configuration>
  <system.webServer>
     <security>
        <requestFiltering>
           <verbs>
              <add verb="TRACE" allowed="false" />
           </verbs>
        </requestFiltering>
     </security>
  </system.webServer>
</configuration>

您可以在此處找到詳細資訊:https ://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/requestFiltering/verbs/

如果有人仍然在禁用 TRACE/TRACK 動詞時遇到困難,以下是通過 IIS 管理器執行此操作的說明:

  1. 轉到 IIS 管理器
  2. 點擊網站名稱
  3. 點兩下“請求過濾”(如果您沒有看到請求過濾圖示,請安裝它
  4. 轉到“HTTP動詞”選項卡
  5. 從“操作”菜單中點擊“拒絕動詞”。鍵入“跟踪”。點擊“確定”
  6. 從“操作”菜單中點擊“拒絕動詞”。鍵入“跟踪”。點擊“確定”

請注意,在 IIS 7 之後 TRACK 動詞預設被禁用。除了 IIS 8.5,TRACE 也被禁用:

在此處輸入圖像描述

有關此主題的更多資訊:如何在 IIS 中禁用 HTTP TRACK 和 TRACE 動詞?

引用自:https://serverfault.com/questions/895650