Stap 2: Beperken de http-methoden toegestaan.
Als u alleen dienen statische html content, (die ik weet is zeldzaam deze dagen, hoewel het is de meest veilige methode voor het presenteren van een website), hoeft u niet de POST-methode. Meestal servers gebruiken de methode GET informatie opvragen van de server, en de POST informatie naar de server in te dienen. Ook wij hebben de optie van het hoofd, die naar de inhoud van header-informatie kijkt zonder eigenlijk het gebruik van de inhoud op geen enkele manier, en wij hebben de methode OPTIONS, die resulteert in een lijst met beschikbare methoden op een bepaalde server.
Hackers kunnen gebruiken een speciaal POST-aanvraag naar de server te verleiden tot het uitvoeren van de code, met name wanneer een POST-aanvraag niet zou worden verwacht of behoefte. Evenzo kunnen de hoofd en opties methoden worden gebruikt om het verkrijgen van inlichtingen te weren van een aanval. Terwijl de behoeften van uw sever variëren kunnen, aannemen we hier dat u statische content serveren en niet post, hoeft zodat wij alle andere methoden zal zwenking vandoor, met uitzondering van krijgen.
De opdracht, die in de server-richtlijn gaat, is als volgt:
Als ($request_method! ~ ^ (GET) $)
{
retourneren van 444;
}