forbidden-method
from Web Fetch APIのユーザー保護機構
forbidden-method
Fetch Standard #forbidden-method
A forbidden method is a method that is a byte-case-insensitive match for CONNECT, TRACE, or TRACK.
VU#867593 - Web servers enable HTTP TRACE method by default
TRACEメソッドを利用するとリクエストの全文がわかるから機密情報も取れてしまう
VU#288308 - Microsoft Internet Information Server (IIS) vulnerable to cross-site scripting via HTTP TRACK method
Microsoft Internet Information ServerはTRACKメソッドをサポートしていて、リクエストの全文を返却してしまう
VU#150227 - HTTP proxy default configurations allow arbitrary TCP connections
脆弱なプロキシサーバーは、CONNECTメソッドによって、任意の接続を、内容の検証なしに許容してしまう
プロキシサーバーへの再帰的接続によるプロキシサーバー自身へのDoS攻撃や、そのプロキシを踏み台にして本来到達できないはずの他のサーバーへアタックすることが可能になる