Детали моей настройки:
Я заблокировал метод подключения на http-сервере apache, используя конфигурацию ниже. Но все же уязвимость метода подключения сохраняется. Мне нужно что-то делать на стороне NodeJS?
RewriteCond% {REQUEST_METHOD}! ^ (GET | POST | PUT | DELETE | HEAD)
RewriteRule. * - [R = 405, L]
Самая распространенная причина такой общей проблемы - не включение mod_rewrite с RewriteEngine on
в контексте вы RewriteRule
был размещен.
Однако, даже если это так, я бы предложил использовать <Limit>
или <LimitExcept>
блоки, а еще лучше не загружать mod_proxy_connect
вообще так, чтобы CONNECT
метод не может быть использован. Если это, конечно, обрабатывается вашим приложением, его также необходимо отключить.
Дополнительная информация после комментариев:
Делать не изменить <Directory />
блок, который поставляется с вашей конфигурацией, его следует оставить как есть.
Кроме того, не ставьте (как я сказал в своих комментариях) <Limit>
блок внутри другого блока (в вашем случае <Directory>
блок. Директивы конфигурации в <Directory>
блокировка вступает в силу только в том случае, если запрос сопоставлен с файловой системой, но вы проксируете /
в другую службу на example.com, что значит нет запросы отображаются в файловую систему, и поэтому ваш <Limit>
блокировка никогда не вступит в силу.