Cómo deshabilitar HTTP inseguro Desactivar métodos HTTP innecesarios

IIS7.0 habilita los métodos OPCIONES y TRACE no seguros de forma predeterminada. Se recomienda deshabilitar estos dos métodos.

El siguiente entorno es Windows Server 2008, IIS7.0

Método (1): web.configuration

Agregue el siguiente código en el nodo :

<seguridad> <agregar verb="POST" permitido ="true"/>

Solo el código anterior permite habilitar los métodos GET, POST y HEAD.

allowUnlisted="false": Rechaza predicados no listados.

Método (2): IIS 7.0 --> "Reglas de autorización"

Agregue reglas "Permitir" y "Denegar".

Método (3): IIS 7.0 --> applicationHost.config

Ubicación del archivo: C:/Windows/System32/inetsrv/config/

Para configurar La forma en que IIS maneja los predicados no listados utiliza la siguiente sintaxis:

Appcmd es un nuevo método que le permite agregar reglas de "permitir" y "denegar". enableunlisted:true

| false

Por ejemplo, para denegar predicados no listados, escriba el siguiente comando en el símbolo del sistema y presione Entrar:

Para denegar verbos no listados , escriba el siguiente comando en el símbolo del sistema y presione Entrar:

appcmd set config /section:requestfiltering

/verbs.allowunlisted:false

Para configurar el verbos para filtrar, use la siguiente sintaxis:

appcmd set config /section:requestfiltering

appcmd set config /section:requestfiltering /+verbs [verb='

<. p>string ',allowed='true | false']

La cadena del verbo variable se utiliza para especificar el predicado al que se aplicará la restricción.

Por ejemplo, para especificar que se permite GET, escriba el siguiente comando en el símbolo del sistema y presione Entrar:

appcmd set config /section:requestfiltering

/+ verbos.