Étape 2: Restreindre les méthodes http autorisées.
Si vous servez seulement statique html content, (qui je sais est rare de nos jours, même si c’est la méthode la plus sûre de présenter un site Web), vous n’avez pas besoin de la méthode POST. En général, serveurs utilisent la méthode GET pour obtenir des informations du serveur et poste à envoyer les informations vers le serveur. En outre, nous avons la possibilité de la tête, qui se penche sur les informations d’en-tête de ce contenu sans utiliser effectivement le contenu de quelque façon, et nous avons la méthode OPTIONS, qui retourne une liste des méthodes disponibles sur un serveur donné.
Les pirates peuvent utiliser une requête POST spécialement conçue pour piéger le serveur dans l’exécution de code, particulièrement où une requête POST ne serait pas attendre ou nécessité. De même, les méthodes HEAD et OPTIONS peuvent servir à obtenir des renseignements pour repousser une attaque. Les besoins de votre serveur peuvent varier, nous supposons ici que vous servent du contenu statique et que vous n’avez pas de post, donc on s’éteindra toutes les autres méthodes, sauf GET.
La commande qui va à l’intérieur de la directive de serveur, est la suivante :
Si ($request_method! ~ ^ (GET) $)
{
Retour à 444 ;
}