前言：检测网站有危险的TRACE,OPTIONS方法,这个需要如何禁止呢,本教程介绍IIS7/8/10和apache以及nginx如何禁用http的TRACE,OPTIONS这两个危险方法,希望对大家有帮助。
1、IIS7/IIS8/IIS10下通过web.config禁用TRACE,OPTIONS
网站根目录下创建web.config文件写入如下规则,注意：若已存在web.config文件,之前代码不要删除,请在合适的位置添加如下红色区域规则。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
    <security>
      <requestFiltering>
        <verbs allowUnlisted="true">
          <add verb="OPTIONS" allowed="false"/>
          <add verb="TRACE" allowed="false"/>
        </verbs>
      </requestFiltering>
    </security>
</system.webServer>
</configuration>

2、windows2003（iis6）
请在ISAPI筛选器的配置文件中添加如下规则。

RewriteEngine on
RewriteCond %{THE_REQUEST} ^(TRACE|OPTIONS)
RewriteRule .* - [F]

3、Apache
网站根目录创建.htaccess文件，内容如下，如果您已有其他规则，请添加到第一条规则。

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|OPTIONS)
RewriteRule .* - [F]

4、Nginx
在要禁止的站点配置文件或总的配置文件中添加（值允许GET|HEAD|POST方法,其他方法都禁止）

if ($request_method !~ ^(GET|HEAD|POST)$) {     
    return 403;
}

或

if ($request_method ~*(OPTIONS|TRACE)$){
        return 403;
}

5、tomcat禁止
在 Tomcat 的 web.xml 文件中添加以下代码，关闭不安全的HTTP方法。

<!-- 关闭不安全的HTTP方法 -->
<security-constraint>
    <web-resource-collection>
        <web-resource-name>fortune</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>HEAD</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint></auth-constraint>
</security-constraint>