Realizei o bloqueio de métodos diferentes de GET, POST e OPTIONS no apache.conf, e quando tento executar o servidor via IP o bloqueio funciona.
Mas ao configurar o mesmo bloqueio em um subdomínio (via sites-disponíveis), esse bloqueio não ocorre. O que eu poderia ter feito de errado?
apache2.conf
<Directory /var/www/>
Options None
AllowOverride None
Require all granted
<LimitExcept GET POST OPTIONS>
Require all denied
</LimitExcept>
</Directory>
sites-available/subdomain.example.com.conf
<VirtualHost *:80>
ServerName subdomain.example.com
ServerAlias subdomain.example.com
DocumentRoot /var/www/html/subdomain.example.com
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
Header append X-FRAME-OPTIONS "SAMEORIGIN"
RewriteCond %{REQUEST_URI} !^/\.well\-known/acme\-challenge/
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,L]
</VirtualHost>
<VirtualHost *:443>
SSLEngine on
SSLCertificateFile /certs/example.crt
SSLCertificateKeyFile /certs/example.key
SSLCertificateChainFile /certs/example-intermediary.crt
Protocols h2 http/1.1
Header always set Strict-Transport-Security "max-age=31536000"
Header append X-FRAME-OPTIONS "SAMEORIGIN"
<Directory /var/www/html/subdomain.example.com>
Options None
AllowOverride None
Require all granted
<LimitExcept GET POST OPTIONS>
Require all denied
</LimitExcept>
</Directory>
ServerName subdomain.example.com
ServerAlias subdomain.example.com
DocumentRoot /var/www/html/subdomain.example.com
ErrorLog ${APACHE_LOG_DIR}/error.log
CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
Este bloqueio não está funcionando porque ao executar uma requisição com PUT, DELETE, LOCK, etc, o conteúdo da página é retornado normalmente.
Você deve parar de usar essa maneira antiga e complicada de restringir métodos.
Carregue mod_allowmehtods.so e defina o que você deseja permitir de uma maneira mais simples.
A menos que você substitua isso em um subdiretório por outra coisa, isso funcionará em todo o servidor. Tente e deixe-nos saber.