TRACE和TRACK是用來調試web服務器連接的HTTP方式。支持該方式的服務器存在跨站腳本漏洞，通常在描述各種瀏覽器缺陷的時候，把"Cross-Site-Tracing"簡稱為XST。攻擊者可以利用此漏洞欺騙合法用戶并得到他們的私人信息。

如何關閉Apache的TRACE請求

•虛擬主機用戶可以在.htaccess文件中添加如下代碼過濾TRACE請求:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]

•服務器用戶在httpd.conf尾部添加如下指令后重啟apache即可:

TraceEnable off

如果是自己的服務器，可以輕松設置，如果是購買的虛擬主機，你可以找idc服務商讓他們幫你關閉，一般他們會建議你使用第一種辦法。

附：另一篇

1. 2.0.55以上版本的Apache服務器，可以在httpd.conf的尾部添加：TraceEnable off

2. 如果你使用的是Apache：- 確認rewrite模塊激活（httpd.conf，下面一行前面沒有#）：

LoadModule rewrite_module modules/mod_rewrite.so

- 在各虛擬主機的配置文件里添加如下語句：

RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .*

- [F]注：可以在httpd.conf里搜索VirtualHost確定虛擬主機的配置文件。