OPZIONI HTTP disabilitare, TRACE, TESTA, copia e sbloccare i metodi in IIS

Per motivi di sicurezza Voglio disabilitare quei metodi attraverso il livello di applicazione così ho questo file web.configOPZIONI HTTP disabilitare, TRACE, TESTA, copia e sbloccare i metodi in IIS

<configuration> 
<location path="index.php"> 
<system.webServer> 
      <directoryBrowse enabled="false" /> 
</system.webServer> 

<system.web> 
    <authorization> 
     <deny verbs="OPTIONS" users="*" /> 
     <deny verbs="TRACE" users="*" /> 
     <deny verbs="HEAD" users="*" /> 
     <deny verbs="PROPFIND" users="*" /> 
     <deny verbs="COPY" users="*" /> 
     <deny verbs="LOCK" users="*" /> 
     <deny verbs="UNLOCK" users="*" /> 
     <deny verbs="PROPPATCH" users="*" /> 
     <deny verbs="MKCOL" users="*" /> 
     <deny verbs="MOVE" users="*" /> 
     <deny verbs="DELETE" users="*" /> 
    </authorization> 
</system.web>

ma questo non ha funzionato qualche idea?

fonte

2012-08-26 Samy Massoud

Questo ha funzionato per me, ma solo dopo aver forzato i verbi specifici a essere gestiti dal gestore predefinito.

<system.web> 
... 
    <httpHandlers> 
    ... 
    <add path="*" verb="OPTIONS" type="System.Web.DefaultHttpHandler" validate="true"/> 
    <add path="*" verb="TRACE" type="System.Web.DefaultHttpHandler" validate="true"/> 
    <add path="*" verb="HEAD" type="System.Web.DefaultHttpHandler" validate="true"/>

È ancora possibile utilizzare la stessa configurazione si dispone sopra, ma anche costringere i verbi di essere trattati con il gestore predefinito e convalidati. Fonte: http://forums.asp.net/t/1311323.aspx

Un modo semplice per testare è semplicemente negare GET e verificare se il sito viene caricato.

fonte

2013-09-03 06:28:11 BrutalDev

anche dopo aver utilizzato il codice che non mi funziona. Puoi per favore suggerire cosa potrei mancare. il mio ambiente è asp.net e IIS – Ram

@Ram Senza vedere la tua configurazione o avere alcuna conoscenza del tuo ambiente non posso suggerire nulla. Per favore, fai una domanda su SO e fai riferimento a questa domanda con maggiori dettagli sulla tua attuale configurazione. – BrutalDev

Ricevo l'errore HTTP 500.23 - Errore interno del server ..! @BrutalDev, hai qualche idea su questa situazione .. –

Finalmente ho trovato un'altra risposta per questo problema. e questo sta funzionando per me. Basta aggiungere i dati sottostanti al tuo file webconfig.

<configuration> 
<system.webServer> 
    <security> 
    <requestFiltering> 
    <verbs allowUnlisted="true"> 
    <add verb="OPTIONS" allowed="false" /> 
    </verbs> 
    </requestFiltering> 
    </security> 
</system.webServer> 
</configuration>

Modulo ulteriori informazioni, è possibile visitare questo sito web: http://www.iis.net/learn/manage/configuring-security/use-request-filtering

se si vuole testare il vostro sito web, è che funziona o no ... È possibile utilizzare "HttpRequester" Mozilla Firefox collegare. per questo plug-in: https://addons.mozilla.org/En-us/firefox/addon/httprequester/

fonte

2015-03-27 16:48:25

Un altro modo per testare questo è di eseguire un buon web scanner contro il tuo sito (dovresti farlo comunque). Se OPTIONS è abilitato, dovrebbe prenderlo. – nmit026

Interessante. Con IIS 7.5 ho iniziato a ricevere errori 500.19 quando ho aggiunto le righe che hai citato. Sembra che sia in conflitto con le mie impostazioni dell'applicazione Host.config. –

Per chiunque cerchi un'opzione di interfaccia utente utilizzando Gestione IIS.

aprire il sito Web in Gestione IIS
Vai a Filtro richieste e aprire la finestra Filtro richieste.
Vai a Verbi Scheda e Aggiungi verbi HTTP a "Consenti verbo ..." o "Rifiuta verbo ...". Ciò consente di aggiungere i verbi HTTP nella raccolta "Nega verbo ..".

filtro richieste Finestra in Gestione IIS

Aggiungi Verbo ... o Nega verbo ...

fonte

2018-01-11 19:54:24 Agalo

OPZIONI HTTP disabilitare, TRACE, TESTA, copia e sbloccare i metodi in IIS

risposta

Problemi correlati