背景：

今天被安全检测出一个这样的问题：启用不安全的HTTP方法。DELETE方法是用来调试web服务器连接的http方式，支持该方式的服务器文件可能被非法删除；PUT方法用来向服务器提交文件；TRACE方法本用于客户端测试到服务器的网络通路，通过允许客户端知道请求链另一端接收的时什么数据，然后利用那些数据进行测试或诊断。

解决方案：在ng层面进行拦截

    limit_except GET POST {deny all;}

验证：

curl -X DELETE #你的url -v，依据下图的输出，443是在ng层面进行了拦截，而不是被后端服务进行拦截。