QA@IT

OPTIONSメソッドのAllow表示に関するapacheの設定

6159 PV

apache2.2の設定に関して、お力添えを頂きたく質問させていただきます。

現在、apache2.2にてWebサーバを設定しているのですが、
セキュリティの観点より、HTTPメソッドのOPTIONSでアクセスが
あった場合のレスポンス内Allow項目を「GET、POST、OPTIONS、HEAD」のみ
の表示とさせるよう以下設定をhttpd.confに記載しております。

【パス/test/以下への設定】

<Location /test/.*>
  <LimitExcept GET POST OPTIONS HEAD>
    Order deny,allow
    Deny from all
  </LimitExcept>
</Location>

本設定を投入後、/test/以下のリソースへ
OPTIONSメソッドにてアクセスを実施しましたが、
Allow項目にはDELETE等の許可していない
メソッドが表示されてしまいました。

そこで、OPTIONSメソッドのAllow項目からメソッドを削除できない原因や
削除するための設定についてご教示頂けないでしょうか。

尚、許可していないメソッドでアクセスした場合は、
期待通りのステータスコード403が返却されます。

また、参考までに「/test/」はmod_proxy_ajpにより
tomcat7.0と連携しております。

回答

Limit や LimitExcept は OPTIONS の応答内容とは無関係なので、 OPTIONS の応答から削除するには DELETE メソッドなどを実装しているモジュールを無効にすれば良いのではないでしょうか。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。