服务器开启option方式

HTTP请求方法并不是只有GET和POST，只是最常用的。据RFC2616标准（现行的HTTP/1.1）得知，通常有以下8种方法：OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT。

漏洞简述

OPTIONS方法是用于请求获得由Request-URI标识的资源，在请求/响应的通信过程中可以使用的功能选项。通过这个方法，客户端可以在采取具体资源请求之前，决定对该资源采取何种必要措施，或者了解服务器的性能。

OPTIONS请求方法的主要用途有两个：

1、获取服务器支持的HTTP请求方法；也是黑客经常使用的方法。

2、用来检查服务器的性能。例如：AJAX进行跨域请求时的预检，需要向另外一个域名的资源发送一个HTTP OPTIONS请求头，用以判断实际发送的请求是否安全。

漏洞实例

开启该方法有可能泄漏一些敏感信息，为攻击者发起进一步攻击提供信息。

漏洞修复

建议关闭该功能。

iis：
如：
在wwwroot目录建立web.config文件（windows2008、windows2012服务器系统），文件代码如下：

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

   <security>

      <requestFiltering>

        <verbs allowUnlisted="true">

          <add verb="OPTIONS" allowed="false"/>

        </verbs>

      </requestFiltering>

    </security>

  </system.webServer>

</configuration>

在Apache配置文件httpd.conf中添加以下代码：
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]