我一直在 Coldfusion 服务器中收到 HTTP TRACE/TRACK Methods enabled 漏洞。任何解决此问题的建议都将有很大帮助。
全面禁止这些方法更受HTTP服务器(IIS,Apache,NGINX(的关注,而不是应用程序服务器(Coldfusion,Lucee(。在某些情况下,这些 HTTP 动词可能合法使用。
但是,您可以使用几行代码从onRequestStart Application.cfc方法中处理此问题。
var disallowVerbs = [ "TRACE", "TRACK" ];
if( arrayContains( disallowVerbs, cgi.request_method ) ){
cfheader( statusCode=403, statusText="Method Not Allowed" );
}