远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求，该请求典型地用于测试HTTP协议实现。攻击者利用TRACE请求，结合其它浏览器端漏洞，有可能进行跨站脚本攻击，获取敏感信息，比如cookie中的认证信息，这些敏感信息将被用于其它类型的攻击。

管理员应禁用WWW服务对TRACE请求的支持。



IIS



    URLScan



Apache



    Source Code Modification



    Mod_Rewrite Module



        RewriteEngine on

        RewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)

        RewriteRule .* - [F]

另一种方法：

在主配置文件httpd.conf中添加配置：



TraceEnable off



可以直接配置在ServerRoot参数下面。