Apache LimitExcept только для методов GET и POST

Question

У меня есть текущая конфигурация в файле httpd.conf. Я пытаюсь удалить уязвимость обхода аутентификации с использованием HTTP-глагола. Я хочу только разрешить определенные заголовки HTTP-запросов, Get и Post в приведенном ниже примере, а другой заголовок должен вызывать ошибку.

DocumentRoot "c:/dev" 
<Directory "C:/dev"> 
    Options Indexes FollowSymLinks MultiViews Includes 
    AllowOverride Limit 
    <LimitExcept GET POST> 
     Order deny,allow 
    Deny from all 
    </LimitExcept> 
    Order allow,deny 
    Allow from all 
</Directory> 

Эта конфигурация по-прежнему позволяет другим заголовкам запросов HTTP, таким как put, options и т. Д. Я использую postman api для проверки своих изменений. Пожалуйста помоги!

Answer 1

Директива LimitExcept является обратной директивой Limit. Он позволяет применять набор ограничений доступа ко всем перечисленным http-методам, за исключением тех, которые перечислены в директиве LimitExcept. См. Эту ссылку: http://httpd.apache.org/docs/current/mod/core.html#limitexcept. Таким образом, ограничения доступа применяются ко всем методам http, за исключением тех, которые перечислены в LimitExcept.

В вашем случае проблема связана с директивами по контролю доступа. Смотрите эту ссылку для получения дополнительной информации: http://httpd.apache.org/docs/current/mod/mod_access_compat.html#order

Вы можете попытаться удалить директивы ниже

Answer 2

Попробуйте настройку

<Location /> 
     Order allow,deny 
     Allow from all 
     <LimitExcept POST GET> 
      Deny from all 
     </LimitExcept> 
</Location>