Как отключить TRACE / TRACK в IIS 7.5
Из этой статьи: Отключить трассировку / отслеживание в IIS | Techstacks HOWTO's, Я узнал, что вам необходимо установить фильтр UrlScan, чтобы отключить запросы TRACE / TRACK в IIS 7.5. Однако у меня возникли проблемы с установкой UrlScan Filter (я не разработчик .NET) - Мастер установки Microsoft UrlScan Filter v3.1 завершает работу с сообщением «Требуется метабаза IIS» | Ошибка сервера.
Есть ли другие способы отключения запросов TRACE / TRACK?
Если у кого-то все еще возникают проблемы с отключением глаголов TRACE / TRACK, вот инструкции, как сделать это с помощью диспетчера IIS:
- Перейдите в диспетчер IIS
- Щелкните название веб-сайта
- Дважды нажмите «Фильтрация запросов» (если вы не видите значок «Фильтрация запросов», установить это)
- Перейдите на вкладку «HTTP-глаголы»
- Нажмите «Deny Verb» в меню «Действия». Введите «СЛЕД». Нажмите «ОК».
- Нажмите «Deny Verb» в меню «Действия». Введите «ТРЕК». Нажмите «ОК»
Обратите внимание, что команда TRACK по умолчанию отключена после IIS 7. TRACE также отключен, за исключением IIS 8.5:
Для получения дополнительной информации по этой теме: Как отключить глаголы HTTP TRACK и TRACE в IIS?
В IIS 7.0 или новее он больше не полагался на UrlScan. Вы можете настроить <requestFiltering> ОТКАЗАТЬ глагол TRACE. Например, в вашем web.config:
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs>
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>
Вы можете найти подробности здесь: https://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/requestFiltering/verbs/