Apacheメモ:HTTP TRACEを無効化する方法 - minddumpWebサーバーにおいてはセキュリティ上、TRACEメソッドはオフにしておくことが 推奨されています。クロスサイトトレーシング (@IT:Webアプリケーションに潜むセキュリティホール(4)(後半部分)) を防止するためです。 Apache1.3.34と2.0.55以降ではTraceのオンオフ機能があり、httpd.confに TraceEnable Off を記述すればTRACEはオフにできるので簡単なのですが、 それより前のバージョンのApacheではその機能がないので、 mod_rewriteを利用してTRACEを無効化します。 mod_rewriteはApacheのモジュールで、 アクセスしてきたURLを書き換えて、別のURLにリダイレクトする機能を持ちます。 リダイレクトではなく、エラーメッセージを表示することもできます。 これにより、TRACEリクエストきたらForbiddenを
