如何禁用不需要的HTTP方法
展开全部
IIS7.0默认开启了不安全的OPTIONS和TRACE方法,建议关闭这两个方法。
以下环境为windows server 2008、IIS7.0
方法(1):web.config
在<configuration>节点下添加如下代码:
<system.webServer> <security> <requestFiltering> <verbs allowUnlisted="false"> <add verb="GET" allowed="true"/> <add verb="POST" allowed="true"/> <add verb="HEAD" allowed="true"/> </verbs> </requestFiltering> </security></system.webServer>
以上代码只允许开启GET、POST和HEAD方法。
allowUnlisted="false":拒绝未列出的谓词。
方法(2):IIS7.0 --> “授权规则”
添加“允许”和“拒绝”规则,特定谓词只能填一个。
方法(3):IIS7.0 --> applicationHost.config
文件位置:C:/Windows/System32/inetsrv/config/
若要配置 IIS 处理未列出的谓词的方式,请使用以下语法:
appcmd set config /section:requestfiltering /verbs.allowunlisted:true
| false
例如,若要拒绝未列出的谓词,请在命令提示符处键入以下命令,然后按 Enter:
appcmd set config /section:requestfiltering
/verbs.allowunlisted:false
若要配置要筛选的谓词,请使用以下语法:
appcmd set config /section:requestfiltering /+verbs.[verb='
string ',allowed='true | false']
变量 verb string 用于指定将应用此限制的谓词。
例如,若要指定允许使用 GET,请在命令提示符处键入以下命令,然后按 Enter:
appcmd set config /section:requestfiltering
/+verbs.[verb='GET',allowed='true']
以下环境为windows server 2008、IIS7.0
方法(1):web.config
在<configuration>节点下添加如下代码:
<system.webServer> <security> <requestFiltering> <verbs allowUnlisted="false"> <add verb="GET" allowed="true"/> <add verb="POST" allowed="true"/> <add verb="HEAD" allowed="true"/> </verbs> </requestFiltering> </security></system.webServer>
以上代码只允许开启GET、POST和HEAD方法。
allowUnlisted="false":拒绝未列出的谓词。
方法(2):IIS7.0 --> “授权规则”
添加“允许”和“拒绝”规则,特定谓词只能填一个。
方法(3):IIS7.0 --> applicationHost.config
文件位置:C:/Windows/System32/inetsrv/config/
若要配置 IIS 处理未列出的谓词的方式,请使用以下语法:
appcmd set config /section:requestfiltering /verbs.allowunlisted:true
| false
例如,若要拒绝未列出的谓词,请在命令提示符处键入以下命令,然后按 Enter:
appcmd set config /section:requestfiltering
/verbs.allowunlisted:false
若要配置要筛选的谓词,请使用以下语法:
appcmd set config /section:requestfiltering /+verbs.[verb='
string ',allowed='true | false']
变量 verb string 用于指定将应用此限制的谓词。
例如,若要指定允许使用 GET,请在命令提示符处键入以下命令,然后按 Enter:
appcmd set config /section:requestfiltering
/+verbs.[verb='GET',allowed='true']
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
Storm代理
2023-08-29 广告
"StormProxies是全球大数据IP资源服务商,其住宅代理网络由真实的家庭住宅IP组成,可为企业或个人提供满足各种场景的代理产品。点击免费测试(注册即送1G流量)StormProxies有哪些优势?1、IP+端口提取形式,不限带宽,I...
点击进入详情页
本回答由Storm代理提供
展开全部
IIS7.0默认开启了不安全的OPTIONS和TRACE方法,建议关闭这两个方法。 以下环境为windows server 2008、IIS7.0 方法(1):web.config 在<configuration>节点下添加如下代码: <system.webServer> <security> <requestFiltering> <verbs allowUnlisted="false"> <add verb="GET" allowed="true"/> <add verb="POST" allowed="true"/> <add verb="HEAD" allowed="true"/> </verbs> </requestFiltering> </security> </system.webServer> 以上代码只允许开启GET、POST和HEAD方法。 allowUnlisted="false":拒绝未列出的谓词。 方法(2):IIS7.0 --> “授权规则” 添加“允许”和“拒绝”规则,特定谓词只能填一个。 方法(3):IIS7.0 --> applicationHost.config 文件位置:C:\Windows\System32\inetsrv\config\ 若要配置 IIS 处理未列出的谓词的方式,请使用以下语法: appcmd set config /section:requestfiltering /verbs.allowunlisted:true | false 例如,若要拒绝未列出的谓词,请在命令提示符处键入以下命令,然后按 Enter: appcmd set config /section:requestf.
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
