2010年4月19日月曜日

TRACEメソッド(HTTP)

スズキです。

TRACEメソッド(HTTP)はWebサーバに対してクライアントが送信した内容を、
下記のように、そのまま返すメソッドです。

# telnet localhost 80
--------
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
TRACE / HTTP/1.1
Host: suz-lab.com

HTTP/1.1 200 OK
Date: Mon, 19 Apr 2010 10:27:18 GMT
Server: Apache
Connection: close
Transfer-Encoding: chunked
Content-Type: message/http

27
TRACE / HTTP/1.1
Host: suz-lab.com


0

Connection closed by foreign host.
--------

これは、セキュリティ的に好ましくないので、Apacheでは"httpd.conf"に、
"TraceEnable Off"と設定することによって、無効にすることができます。

無効にした状態で、再度、TRACEメソッドを試すと、
下記のように利用できないことがわかります。

# telnet localhost 80
--------
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
TRACE / HTTP/1.1
Host: suz-lab.com

HTTP/1.1 405 Method Not Allowed
Date: Mon, 19 Apr 2010 10:36:02 GMT
Server: Apache
Allow:
Content-Length: 223
Connection: close
Content-Type: text/html; charset=iso-8859-1

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>405 Method Not Allowed</title>
</head><body>
<h1>Method Not Allowed</h1>
<p>The requested method TRACE is not allowed for the URL /.</p>
</body></html>
Connection closed by foreign host.
--------

セキュリティモード、終了...

--------
http://www.suz-lab.com

0 コメント: