如何在Apache中禁用HTTP 1.0协议？

Question

HTTP 1.0存在与会话劫持相关的安全漏洞。我想在我的web服务器上禁用它。

Answer 1

您可以在mod-rewrite子句中检查SERVER_PROTOCOL变量。请务必将此规则放在第一条规则中。

RewriteEngine On
RewriteCond %{SERVER_PROTOCOL} ^HTTP/1\.0$
RewriteCond %{REQUEST_URI} !^/path/to/403/document.html$
RewriteRule ^ - [F]

对!^/path/to/403/document.html$的额外否定检查是为了向用户显示禁止的页面。否则将导致递归。

Answer 2

如果您在一个基于名称的虚拟主机上(并且每个虚拟服务器都没有自己单独的IP地址)，那么在技术上不可能使用HTTP/1.0连接到您的虚拟主机；只有默认服务器--定义的第一个虚拟服务器--是可以访问的。在大多数情况下，对一个真正的HTTP/1.0请求的响应将是一个400Bad的错误代码，但是您后来尝试使用自定义错误文档(参见Apache指令)，那么阻塞请求的结果将是一个“无限”循环:服务器将尝试响应一个403 - Request.If响应代码，并提供自定义的403错误文档。但这将导致另一个403错误，因为对所有资源--包括自定义403页面--的访问都被拒绝。因此，服务器将生成另一个403错误，然后尝试响应它，创建另一个403、另一个和另一个...这将继续下去，直到客户端或服务器放弃。

我建议这样做：

 SetEnvIf Request_Protocol HTTP/1\.0$ Bad_Req
 SetEnvIf Request_URI ^/path-to-your-custom-403-error-page\.html$ 
 Allow_Bad_Req
 #Order Deny,Allow
 Deny from env=BadReq
 Allow from env=Allow_Bad_Req

在mod_rewrite中，类似于：

RewriteCond %{THE_REQUEST} HTTP/1\.0$
RewriteCond %{REQUEST_URI} !^/path-to-your-custom-403-error-page\.html$

Answer 3

在Apache2.5中，使用mod_policy中的PolicyVersion指令，这将是可能的(注意将来时-截至2018年10月)。PolicyVersion指令设置服务器、虚拟主机或目录结构所接受的最低级别的HTTP协议，具体取决于该指令所在的位置。

首先启用策略模块：

a2enmod mod_policy

然后在服务器配置、vhost或目录(在.htaccess中不起作用)中，添加：

PolicyVersion enforce HTTP/1.1 

最后重启服务器：

systemctl restart apache2