我希望TRACE从 IIS 8.5(Windows Server 2012 R2 数据中心)中的网站中删除该方法。我已经使用请求过滤实现了这一点,如下所示:
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="true">
<add verb="TRACE" allowed="false" />
</verbs>
</requestFiltering>
</security>
</system.webServer>
这会阻止TRACE请求,但如果我发送OPTIONS请求,它仍会TRACE在Allow和Public标头中列出。我已重置 IIS,但无法TRACE退出OPTIONS. 我不想否认OPTIONS。
这是有问题的,因为我们遵守的合规性扫描似乎OPTIONS用作其TRACE启用的指标。我知道这是不正确的,但这是我必须满足的标准。
有没有办法让 OPTIONS 正确报告可用方法?