背景:
今天被安全检测出一个这样的问题:启用不安全的HTTP方法。DELETE方法是用来调试web服务器连接的http方式,支持该方式的服务器文件可能被非法删除;PUT方法用来向服务器提交文件;TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另一端接收的时什么数据,然后利用那些数据进行测试或诊断。
解决方案:在ng层面进行拦截
limit_except GET POST {
deny all;
}验证:
curl -X DELETE #你的url -v,依据下图的输出,443是在ng层面进行了拦截,而不是被后端服务进行拦截。
