Ceci est une note technique.

Je le partage parce que j'ai galéré un peu sans comprendre d'où venait le problème.

Les serveurs web que j'installe ont toujours TRACE de désactivé, pour des raisons de sécurité.

Sauf que lors d'un contrôle de routine, je m'aperçois que... non. La commande suivante :

$ telnet monserveur.tld 80
TRACE / HTTP/1.0
<entrée>
<entrée>

ne me renvoyait pas un code retour 405 (method not allowed) comme elle était censée le faire mais tout autre chose (200, 302, etc. bref comme normalement quoi).

Je check le serveur, la directive "TraceEnable off" était bien présente. Et je tournais en rond sans comprendre...

Sauf que...

On a aussi un Squid, en interne. Et lui autorisait bien la commande TRACE, mais il semble qu'il ne la renvoyait pas au serveur.

M'enfin du coup, j'ai aussi désactivé cette commande pour Squid. Et comme il y a très peu de documentation sur le sujet, ça se fait comme ça, dans le fichier /etc/squid/squid.conf, juste avant le premier http_access :

#disable TRACE method
acl TRACE method TRACE
http_access deny TRACE

Un petit reload, et voilà, le tour est joué. Et du coup, ma commande TRACE est bien envoyée aux fraises.

Comme j'me suis un peu pris la tête dessus, c'est cadeau.