No, no debería preocuparse, especialmente a la tasa de HEAD
de solicitudes HTTP que está cotizando. Una solicitud de este tipo cada media hora en promedio no es mucho. Básicamente, HEAD
pedidos haga lo que dice en el cuadro Es decir, su servidor web solo devolverá los encabezados de respuesta y no adjuntará el cuerpo de respuesta completo. Esto puede ser útil para reducir los requisitos de ancho de banda para tareas sencillas de, por ejemplo, establecer el código de respuesta para la ubicación solicitada, la validación de la memoria caché del cliente, etc. Luego se puede usar para establecer que su servidor web está respondiendo, o si la ubicación solicitada todavía está disponible, no reenvíe los contenidos que no se modificaron mientras tanto y que el cliente ya los almacena en caché local ... según la respuesta de su servidor código de estado HTTP y el contenido del encabezado.
Ahora, estas solicitudes pueden ser bastante frecuentes y, a veces, un poco molestas en cantidad, pero técnicamente son mejores para su servidor en términos de consumir sus recursos, ya que un host web bien escrito puede procesar dichas solicitudes más rápido y consumir menos carga. ancho de banda para enviar una respuesta, que si tuviera que procesar e incluir en su respuesta un documento completo. Con archivos multimedia más grandes, esto se vuelve aún más evidente. Por lo tanto, no recomendaría bloquear tales solicitudes en la configuración de su servidor web, y si hacen que los archivos de registro de su servidor sean menos legibles, le recomiendo que canalice dichas solicitudes en un archivo de registro separado.
En lo que respecta a lo que se muestra en estos encabezados, no hay nada muy diferente en ellos que con las solicitudes normal GET
, con la excepción de que la longitud del contenido será obviamente menor. Y no hay ninguna razón para pensar que el aumento en HEAD
de las solicitudes HTTP es una forma de ataque de DOS en su servidor, ya que el atacante tomaría el mismo esfuerzo para enviar las solicitudes de GET
, mientras que al mismo tiempo agota su Los recursos del servidor son mucho más rápidos. El único caso en el que HEAD
lo haría más rápido que GET
es si no califica el límite o el bloqueo por otros medios (p. Ej., Solicitud de IP) el primero, pero el límite de la tasa o filtra el último y algunos otros HTTP comunes. tipos de solicitud como por ejemplo POST
, lo que sería un caso de mala configuración y no es realmente frecuente. Asegúrese de no deshabilitar involuntariamente ningún filtro de este tipo en su configuración para los métodos de solicitud menos comunes, sin embargo, solo para estar seguro.
Entonces, si bloqueas las solicitudes HEAD
, depende de ti, pero no me molestaría. Hay otros tipos de solicitud HTTP que son mucho más preocupantes, especialmente si ni siquiera tiene ningún uso para ellos en su host, por ejemplo, TRACE
, SEARCH
, OPTIONS
, ... Y siempre es una buena práctica para deshabilitar la respuesta a todos los métodos de solicitud HTTP para los cuales el software de su servidor no tiene ningún uso. Por ejemplo, esto es de mi configuración de Apache:
RewriteCond %{REQUEST_METHOD} ^(TRACE|SEARCH|TRACK|OPTIONS|PUT|QUIT|CONNECT|DELETE|PATCH|DEBUG|PROPFIND|PROPPATCH|MKCOL|COPY|MOVE|LOCK|UNLOCK)
RewriteRule .* - [F]
Esto asegura que ninguno de los métodos enumerados se sirvió (la solicitud se reenvió desde el software del servidor web a la aplicación que maneja estas solicitudes y las procesa) y el servidor web las niega inmediatamente devolviendo un 403 Forbidden
código de estado al cliente. Sin embargo, tenga en cuenta que sus aplicaciones web pueden escribirse para requerir algunos de los métodos HTTP que bloqueo en mi configuración. ¡Este ejemplo no debe copiarse directamente y puede romper la funcionalidad de su servidor web, si no se usa con precaución!