https://www.cgisecurance.com/questions/httptrace.shtml

"TRACE" یک روش درخواست HTTP است که برای اشکال زدایی از پشتی پژواک استفاده می شود.
  ورودی به کاربر جرمیا گروسمن از وایتهاتسک ارسال کرد
  این مقاله خطری را نشان می دهد که به یک مهاجم امکان سرقت اطلاعات را می دهد
  از جمله کوکی ها و احتمالاً اعتبار وب سایت.
  http://www.apacheweek.com برای غیرفعال کردن راه حل زیر را پیشنهاد می کند
  روش HTTP TRACE با استفاده از mod_rewrite.

"درخواستهای TRACE را می توان با ایجاد تغییر در آپاچی غیرفعال کرد.
  پیکربندی سرور متأسفانه انجام این کار ممکن نیست
  با استفاده از دستورالعمل Limit از زمان پردازش درخواست TRACE
  این مجوز را رد می کند. در عوض خطوط زیر می توانند باشند
  اضافه شده است که از ماژول mod_rewrite استفاده می کند.

RewriteEngine On RewriteCond٪ {REQUEST_METHOD} ^ TRACE RewriteRule. *
  – [F] "- www.apacheweek.com

و پاسخی از 2012:

نحوه بهره برداری از روش های HTTP

TRACE – این تعجب آور است … دوباره ، یک روش تشخیصی (مانند
  Jeff ذکر کرد) ، که در بدن پاسخ ، کل HTTP باز می گردد
  درخواست. این شامل بدنه درخواست ، بلکه عناوین درخواست ،
  از جمله به عنوان مثال کوکی ها ، هدر مجوزها و موارد دیگر. بیش از حد
  با کمال تعجب ، این می تواند به طور قابل توجهی سوء استفاده شود ، مانند کلاسیک
  حمله ردیابی متقاطع (XST) ، که در آن یک بردار XSS قابل استفاده است
  برای بازیابی کوکی های HttpOnly ، هدر مجوزها و مواردی از این دست. این
  [قطعاًبایدغیرفعالشود

10 یا 15 سال پیش با جاوا اسکریپت امکان سوء استفاده از آن وجود داشت (اکنون JS مجاز به ارسال HTTP TRACE نیست) ) و با Flash امکان سوء استفاده وجود داشت ، اما اکنون Flash می تواند رسماً مرده تلقی شود.

آیا هنوز هیچ راهی برای سوء استفاده وجود دارد. HTTP TRACE ( اگر آن را بر روی سرور فعال شده است؟ توسط جرمیا گراسمن (2003) کشف شد: https://www.cgisecurance.com/whitehat-mirror/WH-WhitePaper_XST_ebook.pdfociation19659011]