tomcat 禁用不安全的http请求方式

转载 2017年01月03日 14:13:21

1:我的配置

web.xml(url下禁用的请求方式)

[xml] view plain copy
  1. <security-constraint>  
  2.         <web-resource-collection>  
  3.             <web-resource-name>Your_Web_Project_Name</web-resource-name>   
  4.             <url-pattern>/*</url-pattern>  
  5.             <http-method>PUT</http-method>  
  6.             <http-method>DELETE</http-method>  
  7.             <http-method>HEAD</http-method>  
  8.             <http-method>OPTIONS</http-method>  
  9.             <http-method>TRACE</http-method>  
  10.         </web-resource-collection>  
  11.         <auth-constraint>  
  12.         </auth-constraint>  
  13.     </security-constraint>  

 在网上找的,比较详细

 WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制

      HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:

  OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。 

  HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。 

  GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。 

  POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 

  PUT 向指定资源位置上传其最新内容。 

  DELETE 请求服务器删除Request-URI所标识的资源。 

  TRACE 回显服务器收到的请求,主要用于测试或诊断。 

  CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 

  方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。 

  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。

     http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:

一、修改应用中的web.xml:

    第一步:修改web-app协议

     Xml代码     

     <?xml version="1.0" encoding="UTF-8"?>     

     <web-app xmlns="http://Java.sun.com/xml/ns/j2ee"     

                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     

                      xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"     

                      version="2.4">  

  

    第二部:在应用程序的web.xml中添加如下的代码即可

    <security-constraint>     
    <web-resource-collection>     

    <web-resource-name>Your_Web_Project_Name</web-resource-name> 
       <url-pattern>/*</url-pattern>     
       <http-method>PUT</http-method>     
      <http-method>DELETE</http-method>     
      <http-method>HEAD</http-method>     
      <http-method>OPTIONS</http-method>     
      <http-method>TRACE</http-method>
    </web-resource-collection>     
       <auth-constraint>     
       </auth-constraint>     
    </security-constraint>     
    <login-config>     
        <auth-method>BASIC</auth-method>     
    </login-config>  

 

二、修改tomcat中conf下的web.xml

     步骤同上。

 

修改应用中的web.xml就只针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。

 

 

在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下:

第一步:

在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数

Java代码  收藏代码
  1. <init-param>  
  2.     <param-name>readonly</param-name>  
  3.     <param-value>false</param-value>  
  4. </init-param>  

 

readonly参数默认是true,即不允许delete和put操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。

 

第二步:

从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,

Java代码  收藏代码
  1. <script type="text/javascript">  
  2. function getXMLHTTPRequest(){  
  3.     if (XMLHttpRequest)    {  
  4.         return new XMLHttpRequest();  
  5.     } else {  
  6.         try{  
  7.             return new ActiveXObject('Msxml2.XMLHTTP');  
  8.         }catch(e){  
  9.             return new ActiveXObject('Microsoft.XMLHTTP');  
  10.         }  
  11.     }  
  12. }  
  13. var req = getXMLHTTPRequest();  
  14. req.open('DELETE','http://localhost:8080/yours_web/test.html',false);  
  15. req.send(null);  
  16. document.write(req.responseText);  
  17.   
  18. </script>  

 document.write(req.responseText);这一句既是调用了Ajax,也是将删除的test.html返回回来,如果删除成功,那么应该看到的是404的效果。

 

 

 

另外对于web.xml配置参数的说明可参考:

http://www.blogjava.net/baoyaer/articles/107428.html

http://blog.csdn.net/happyqwz/article/details/53993969

对于http深入了解可以参考:

http://blog.csdn.net/lyq5655779/article/details/7515284

tomcat 禁用不安全的http请求模式

tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) /* PUT DELETE HEAD ...
  • owen5630
  • owen5630
  • 2015年07月29日 10:19
  • 16423

tomcat下禁用不安全的http方法

tomcat下禁用不安全的http方法 WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议...
  • chidy
  • chidy
  • 2016年12月26日 23:03
  • 3968

启用不安全的HTTP方法解决方案

近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。1.启用了不安全的HTTP方法问题是这样描述的: 检查原始测试响应的“Allow”头...
  • sdbwlr
  • sdbwlr
  • 2016年07月26日 17:26
  • 3545

启用了不安全的HTTP方法

安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修订...

HTTP 请求的各种方法及安全性

一道题: 下列哪些http方法对于服务端和用户端一定是安全的?() GET HEAD TRACE OPTIONS POST 答案:C 这道题注意 服务端和客户端...

Tomcat java web 禁用HTTP 方法

Tomcat java web 禁用HTTP 方法 配置tomcat,conf/web.xml 或 应用的web.xml /* ...

Tomcat 配置详解/优化方案

Service.xml Server.xml配置文件用于对整个容器进行相关的配置。 元素: 是整个配置文件的根元素。表示整个Catalina容器。 属性: className:实现了org.apac...

关闭不安全的HTTP方法

在项目或tomcat下的web.xml中,添加如下配置: 任意名称 /* P...
  • lisq037
  • lisq037
  • 2013年08月01日 10:14
  • 9485

tomcat中配置允url中带有特殊字符

根据rfc规范,url中不允许有 |,{,}等特殊字符,但在实际生产中还是有些url有可能携带有这些字符,特别是|还是较为常见的。在tomcat升级到7以后,对url字符的检查都变严格了,如果出现这类...
  • aerchi
  • aerchi
  • 2017年09月13日 13:27
  • 889

HTTP之HEAD请求

HEAD请求来源是HTTP1.0。HTTP1.0就定义了三种请求方式GET,POST,HEAD。HTTP1.1则新增了OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:tomcat 禁用不安全的http请求方式
举报原因:
原因补充:

(最多只允许输入30个字)