Knowledge Base
Safe Active TRACE Method Check
Safe Active TRACE Method Check
Категория: Server Hardening · Риск: medium
Safe Active TRACE Method Check
Что проверяет NodeRoute
NodeRoute отправляет безопасный `TRACE` без тела и без секретных данных. Цель — понять, включён ли диагностический HTTP-метод на production-сервере.
Почему это важно
`TRACE` почти никогда не нужен публичному сайту. Если сервер отражает запрос, это увеличивает диагностическую поверхность и может помогать старым XST-сценариям.
Хороший результат
- `405 Method Not Allowed`;
- `403 Forbidden`;
- `501 Not Implemented`;
- ответ не отражает запрос.
Плохой результат
- `TRACE` возвращает 2xx;
- тело ответа содержит отражённые заголовки запроса.
Как исправить
Apache
TraceEnable offNginx
Nginx обычно не поддерживает TRACE как upstream-method по умолчанию, но его можно явно блокировать:
if ($request_method = TRACE) {
return 405;
}Связанные проверки
- [HTTP methods OPTIONS / TRACE](/kb/server_hardening/http-methods-options-trace)
- [Safe Active Diagnostics](/kb/monitoring/safe-active-diagnostics)