如何禁用不需要的HTTP方法

IIS7.0默认开启了不安全的OPTIONS和TRACE方法,建议关闭这两个方法。

以下环境为windows server 2008、IIS7.0

方法(1):web.config

在<configuration>节点下添加如下代码:

<system.webServer>
    <security>
      <requestFiltering>
        <verbs allowUnlisted="false">
          <add verb="GET" allowed="true"/>
          <add verb="POST" allowed="true"/>
          <add verb="HEAD" allowed="true"/>
        </verbs>
      </requestFiltering>
    </security>
</system.webServer>

以上代码只允许开启GET、POST和HEAD方法。

allowUnlisted="false":拒绝未列出的谓词。

方法(2):IIS7.0 --> “授权规则”

添加“允许”和“拒绝”规则,特定谓词只能填一个。

方法(3):IIS7.0 --> applicationHost.config

文件位置:C:\Windows\System32\inetsrv\config\

  • 若要配置 IIS 处理未列出的谓词的方式,请使用以下语法:

    appcmd set config /section:requestfiltering /verbs.allowunlisted:true | false

    例如,若要拒绝未列出的谓词,请在命令提示符处键入以下命令,然后按 Enter:

    appcmd set config /section:requestfiltering /verbs.allowunlisted:false

  • 若要配置要筛选的谓词,请使用以下语法:

    appcmd set config /section:requestfiltering /+verbs.[verb=‘ string ‘,allowed=‘true | false‘]

    变量 verb string 用于指定将应用此限制的谓词。

    例如,若要指定允许使用 GET,请在命令提示符处键入以下命令,然后按 Enter:

    appcmd set config /section:requestfiltering /+verbs.[verb=‘GET‘,allowed=‘true‘]

参考文献:

http://technet.microsoft.com/zh-cn/library/86bb183f-a016-40ca-b9c3-bbb2f5c8a4b5.aspx

http://www.iis.net/learn/manage/configuring-security/use-request-filtering

http://technet.microsoft.com/zh-cn/library/hh831621

如何禁用不需要的HTTP方法

时间: 2024-11-06 11:45:57

如何禁用不需要的HTTP方法的相关文章

centos6.5 (linux) 禁用模块 IPV6模块的方法

装完centos后,默认开启了一些模块,但是有些模块并不是我们必须的.比如目前尚未在中国普及的IPV6 如何关闭IPV6呢 下面介绍的方法,也可以在关闭其他模块的时候使用 第一步: 查找模块名称 使用命令:lsmod 查看系统启动的模块,找出我们需要的 IPV6相关的2个模块分别是net-pf-10 ipv6 第二步: 编辑/etc/modprobe.d/dist.conf 在最后加入 #edit by dwj   备注一下编辑信息 alias net-pf-10 off alias ipv6

【翻译自mos文章】当并行事务恢复进程在执行时,禁用并行事务恢复的方法

当并行事务恢复进程在执行时,禁用并行事务恢复的方法 How to Disable Parallel Transaction Recovery When Parallel Txn Recovery is Active (Doc ID 238507.1) 适用于: Oracle Database - Enterprise Edition - Version 8.1.5.0 to 11.2.0.4 [Release 8.1.5 to 11.2] Oracle Database - Personal E

【翻译自mos文章】当并行事务恢复进程在运行时,禁用并行事务恢复的方法

当并行事务恢复进程在运行时,禁用并行事务恢复的方法 How to Disable Parallel Transaction Recovery When Parallel Txn Recovery is Active (Doc ID 238507.1) 适用于: Oracle Database - Enterprise Edition - Version 8.1.5.0 to 11.2.0.4 [Release 8.1.5 to 11.2] Oracle Database - Personal E

tomcat服务器禁用非post、get方法的坑

按网上的方法,在web.xml文件中增加了禁用非Post.get方法后 <security-constraint> <web-resource-collection> <web-resource-name>SSL</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>

Win8.1恢复被禁用虚拟WiFi适配器的方法

有使用Win8.1的网友设置了虚拟WiFi后,用了一段时间不用了,便将它禁用掉,却也导致虚拟WiFi适配器在网络适配器列表中消失,那么该如何将它恢复呢? 解决方法: 1.先关闭ssid:命令提示符(管理员)输入netsh wlan set hostednetwork mode=disallow ssid. 2.再来设置无线名称和链接密码:netsh wlan set hostednetwork mode=allow ssid=mywifi key=12345678 3.输入netsh wlan

android中禁用多点触控的方法

在自定义一些控件,或者使用别人写的自定义控件的时候,偶尔会遇到多点触控的时候出现各种问题,所以需要对一些地方进行多点触控的禁用,下面是我找到的两个简单的方法: 1. 直接使用自定义主题Theme来修改整个APP的样式,禁止全局多点触控: <style name="MyThemeStyle"> <!-- 禁止多点触控 --> <item name="android:windowEnableSplitTouch">false</

禁用浏览器同源策略的方法

前后联调的时候总会涉及到跨域,平时我们跨域主要的方法是通过cors进行跨域,但是通过cors进行跨域有的时候会涉及到数据安全的问题,这时候我们可以通过禁用本地浏览器的同源策略来进行跨域的联调 ie的禁用同源策略设置,进入ie的网际网路选项设置,然后选择安全性,再选择自订等级,然后下拉,找到「存取跨网络的资料来源」,选择启用即可. chrome的话可以通过在命令行,输入「chrome --disable-web-security」,它会自己再新开启一个实例,开启chrome的时候显示一系列黄色的文

Centos7系统禁用ping命令的简单方法

一般情况下,可以使用ping命令简单了解某台远程服务器的延迟情况,以便大概了解访问速度情况. 但有时候会发现,当ping某台服务器的IP时,可能会出现ping不通的情况,但是却可以访问,这个是怎么回事?其实是这台服务器设置经用ping命令. 如果你使用的是centos7系统,不想别人ping你的主机话,可以通过设置禁用ping命令来实现,具体方法如下. 临时禁用ping 将/proc/sys/net/ipv4/icmp_echo_ignore_all文件里面的0临时改为1,从而实现禁止ICMP报

禁用触发器的N种方法

一.禁用和启用单个触发器 禁用: ALTER TABLE trig_example DISABLE TRIGGER trig1 GO   恢复: ALTER TABLE trig_example ENABLE TRIGGER trig1 GO   ---------------------------------------------------------------   二.禁用和启用某个表上面的所有触发器   --禁用某个表上的所有触发器 ALTER TABLE 你的表 DISABLE