我有一个应用程序需要通过安全审查。我正在使用Laravel Forge,有问题的项目是:
应用程序web服务器必须配置为禁用TRACE和其他HTTP方法(如果未使用)。
我用测试了它
curl -v -X TRACE http://www.yourserver.com
通过本指南:
https://security.stackexchange.com/questions/31659/testing-for-http-trace-method
它没有返回错误消息,所以我认为我仍然需要禁用TRACE。
使用Laravel Forge实现这一目标的最佳方法是什么?
您可以在Forge中编辑nginx配置,因此您只需要在conf:中添加一个方法过滤器
if ($request_method !~ ^(GET|HEAD|POST)$ )
{
return 444;
}