HTTPDisableMethods – Deaktiviert ausgewählte HTTP-Methoden zur Sicherheit

🛠️

Parameter: HTTPDisableMethods

Kurzbeschreibung: Deaktiviert bestimmte HTTP-Methoden (z. B. TRACE, DELETE, PUT) zur Absicherung des Webservers

Steckbrief

Parameter	`HTTPDisableMethods`
Kategorie	Security / TLS
Komponente	Server
Verfügbar seit	R8
Unterstützte Versionen	9.0.1, 10.0, 11.0, 12.0, 14.0, 14.5
GUI-Entsprechung	Nur notes.ini (keine GUI)
Mögliche Werte	Kommagetrennte Liste, z. B. `TRACE,DELETE,PUT,CONNECT,OPTIONS`

Beschreibung

HTTPDisableMethods zwingt den Domino-Webserver, eingehende HTTP-Anfragen mit den genannten Methoden direkt mit 405 Method Not Allowed zu beantworten. So lassen sich potenziell unsichere oder selten benötigte Methoden serverseitig blockieren – ohne Eingriff in einzelne Anwendungen.

Klassischer Hardening-Eintrag: TRACE deaktivieren (Cross-Site-Tracing-Schutz). Je nach Anwendung sollten auch DELETE/PUT/CONNECT/OPTIONS ergänzt werden.

Beispiel-Konfiguration


HTTPDisableMethods=TRACE,DELETE,PUT,CONNECT,OPTIONS

Hinweise & Stolperfallen

WebDAV-Anwendungen benötigen PUT, DELETE, OPTIONS, PROPFIND – nicht pauschal blockieren.

REST-APIs (Domino REST API, eigene XPages-REST-Services) brauchen oft PUT, DELETE, PATCH.

TRACE immer blockieren (Cross-Site-Tracing-Schutz).

Ergänzt – nicht ersetzt – Reverse-Proxy-Regeln (z. B. nginx limit_except).

Änderung wirkt erst nach Neustart des HTTP-Tasks.