HTTP 1.0には、セッションハイジャックに関連するセキュリティの弱点があります。 Webサーバーで無効にしたいと考えています。ApacheでHTTP 1.0プロトコルを無効にする方法は?
答えて
mod-rewrite句の変数SERVER_PROTOCOL
と照合することができます。このルールを必ず最初のルールとしてください。禁止されたページがユーザーに表示できるように
RewriteEngine On
RewriteCond %{SERVER_PROTOCOL} ^HTTP/1\.0$
RewriteCond %{REQUEST_URI} !^/path/to/403/document.html$
RewriteRule^- [F]
!^/path/to/403/document.html$
のための追加的な負のチェックがあります。それ以外の場合、再帰が発生します。
名前ベースの仮想ホストを使用していて、各仮想サーバーがでない場合は、別のIPアドレスを持つには、HTTP/1.0を使用して仮想ホストに接続することは技術的に不可能です。既定のサーバー(最初に定義された仮想サーバー)にのみアクセスできます。これはHTTP/1.0がHTTPの "Host"要求ヘッダーをサポートしていないためで、要求を処理する仮想ホストを「選択」するために、名前ベースの仮想ホストにHostヘッダーが必要なためです。ほとんどの場合、本当のHTTP/1.0リクエストに対するレスポンスは400 Bad Requestです。そのコードを有効にしても後でカスタムエラードキュメントを使用しようとすると(Apache core ErrorDocumentディレクティブを参照)、要求をブロックした結果は「無限ループ」になります。サーバーは403-Forbidden応答コードで応答し、カスタム403エラー文書を処理しようとします。しかし、これはすべてのリソース(カスタム403ページを含む)へのアクセスが拒否されるため、別の403エラーが発生します。したがって、サーバーは別の403エラーを生成し、それに応答しようとすると、別の403と別のものを作成します。これは、クライアントまたはサーバーが断念するまで続きます。 mod_rewriteので
SetEnvIf Request_Protocol HTTP/1\.0$ Bad_Req
SetEnvIf Request_URI ^/path-to-your-custom-403-error-page\.html$
Allow_Bad_Req
#Order Deny,Allow
Deny from env=BadReq
Allow from env=Allow_Bad_Req
、何かのように:
RewriteCond %{THE_REQUEST} HTTP/1\.0$
RewriteCond %{REQUEST_URI} !^/path-to-your-custom-403-error-page\.html$
私のようなものをお勧めしたいです
- 1. Apache 2.4でTLS 1.0を無効にする
- 2. ノード3.0でSSL 3.0とTLS 1.0を無効にする方法
- 3. Discord.NET 1.0で "エラーメッセージ"を無効にする
- 4. ApacheでContent-Lengthレスポンスヘッダーを無効にする方法は?
- 5. TLS 1.0を無効にするSalesforce
- 6. Apache OFBizでアプリケーションを無効にする方法
- 7. apache httpクライアントで0のコンテンツ長ヘッダを無視する方法
- 8. アプレットでhttpキャッシュを無効にする方法
- 9. Jboss Application Server 5でHTTPトレースメソッドを無効にする方法
- 10. couchdbでhttpアクセスを無効にする方法
- 11. Node/Express.jsでHTTP要求ログを無効にする方法
- 12. IIS6 - HTTPSへのHTTPリダイレクト - httpでの認証を無効にする方法
- 13. Apache Tomcatを有効にするHTTP
- 14. Scalaの出力バッファリングを無効にする方法Akka HTTP Server
- 15. Hadoop RPCポートへのHTTP要求を無効にする方法
- 16. イオンファブボタンを無効にする方法は?
- 17. スプリングブートアプリケーションでHTTPオプションを無効にする
- 18. XPath 1.0で名前空間を無視する方法は?
- 19. IIS(6)のWCF + SSL/HTTPS。 web.configでHTTPアクセスを無効にする方法は?
- 20. Apache MINA HTTPプロトコルのサポートに関する情報
- 21. 無効なプロトコル:ヌルエラー10
- 22. OAuth 1.0 APIで無効な署名
- 23. Java EEインターセプタを無効/無効にする方法は?
- 24. オートコンプリートのEnterキーを無効/無効にする方法は?
- 25. ASP.NETでHTTP 1.0/1.1を実装する方法
- 26. Tomcat認証(Realm)を無効または無効にする方法
- 27. apache httpdディレクトリブラウザを無効にする
- 28. apacheサーバステータスチェックを無効にする
- 29. Apache Flink Loggingを無効にする
- 30. C#でWindows 10のホットキーを無効/無効にする方法