デフォルトで許可しないようになっていますが備忘録的に一応書いておきます。 
asadminコマンドで設定します。
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">asadmin set configs.config.server-config.network-config.protocols.protocol.http-listener-1.http.trace-enabled=false
</code></pre></div>もちろんGUI管理コンソールからも設定可能で、構成 -&gt; server-config -&gt; ネットワーク構成 -&gt; プロトコル -&gt; http-listener-1 の「HTTP」タブを開いてトレースのチェックを外します。
この状態でTRACEリクエストを投げると405 Method Not Allowedが返ってきます。

GlassFish v3.1.2.2でTRACEメソッドを許可しない

Discussion