0x00

Apache的TRACE跨站漏洞防范方 关闭方法：

在主配置文件httpd.conf中添加配置： TraceEnable off 可以直接配置在ServerRoot参数下面

apache文件夹列表显示 将Directory标签下 Options Indexes FollowSymLinks 改成 Options FollowSymLinks

0x01

禁用apache OPTIONS方法

在apache配置文件http.conf中添加以下代码：

LoadModule  rewrite_module  path/to/apache/modules/mod_rewrite.so 
RewriteEngine On 
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS) 
RewriteRule .* - [F]

ServerTokens OS　 修改为：ServerTokens Prod （在出现错误页的时候不显示服务器操作系统的名称）

ServerSignature On 修改为：ServerSignature Off（不回显apache版本信息）

Header always append X-Frame-Options SAMEORIGIN

0x02

隐藏apache header信息， 伪装服务器防攻击

如果你有足够的授权，可以修改apache安装源文件中的include/ap_release.h文件，把

define AP_SERVER_BASEVENDOR "Apache Software Foundation"
define AP_SERVER_BASEPROJECT "Apache HTTP Server"
define AP_SERVER_BASEPRODUCT "Apache"

引号里的值改成你想要定义的服务器软件名称即可。
然后重新编译安装apache就可以隐藏掉了apache的http头信息了。