Spring boot 内置tomcat禁止不安全HTTP方法

已于 2022-09-14 20:22:09 修改
阅读量2.1w 收藏 15
点赞数
分类专栏: SpringCloud入门学习 Tomcat原理及源码学习 Tomcat原理学习 文章标签: tomcat spring boot 安全
于 2017-10-16 18:47:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq924862077/article/details/78252831
版权

1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全的HTTP方法

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
	  <http-method>DELETE</http-method>  
	  <http-method>HEAD</http-method>  
	  <http-method>OPTIONS</http-method>  
	  <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>


2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过以下配置进行,简单来说就是要注入到Spring容器中

@Configuration
public class TomcatConfig {

    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){

			@Override
			public void customize(Context context) {
				SecurityConstraint constraint = new SecurityConstraint();
				SecurityCollection collection = new SecurityCollection();
				//http方法
				collection.addMethod("PUT");
				collection.addMethod("DELETE");
				collection.addMethod("HEAD");
				collection.addMethod("OPTIONS");
				collection.addMethod("TRACE");
				//url匹配表达式
				collection.addPattern("/*");
				constraint.addCollection(collection);
				constraint.setAuthConstraint(true);
				context.addConstraint(constraint );
				
				//设置使用httpOnly
				context.setUseHttpOnly(true);
				
			}
        });
        return tomcatServletContainerFactory;
    }

}

军伟@
关注
专栏目录
Springboot解决不安全的请求
01-05 751
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
chemyoo的博客
02-01 408
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
技术干货 | 针对Spring-Boot 框架漏洞的初探
最新发布
2301_80127209的博客
07-29 2372
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
springboot内置tomcat与外部tomcat配置https访问及http自动转向https
08-14
springboot内置tomcat与外部tomcat配置https访问及http自动转向https
spring boot使用内嵌的tomcat解决不安全HTTP方法安全漏洞
caodongfang126的博客
06-21 2143
一:传统Web项目的解决方案: 在tomcat的web.xml配置文件中,对不安全方法进行拦截: <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
TOMCAT关闭不安全HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 4899
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
tomcat下禁用不安全http方法
lionzl的专栏
11-19 1401
 tomcat下禁用不安全http方法 博客分类:  java tomcatwebDav  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了
tomcat 禁用不安全http请求方式
热门推荐
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
移动开发Spring Boot外置tomcat教程及解决方法
08-28
Spring Boot 外置 Tomcat 教程及解决方法 本文主要介绍了 Spring Boot 外置 Tomcat 的教程,并提供了一些解决方法。下面是对标题、描述、标签和部分内容的详细解释: Spring Boot 外置 Tomcat 的必要性 在移动...
Spring Boot修改内置Tomcat默认端口号的示例
08-29
本文将从三个方面介绍如何修改Spring Boot内置Tomcat的默认端口号。 一、使用EmbeddedServletContainerCustomizer接口 EmbeddedServletContainerCustomizer是一个接口,提供了customize方法用于自定义Servlet容器...
Spring Boot启动过程(五)之Springboot内嵌Tomcat对象的start教程详解
08-30
Spring Boot启动过程(五)之Springboot内嵌Tomcat对象的start教程详解是Spring Boot启动过程的重要组件之一,我们需要详细了解TomcatEmbeddedServletContainer的start方法、LifecycleBase的init方法、MBean的强大...
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4442
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
学习-Springboot禁止内置Tomcat安全HTTP方法
liutinghui989的博客
04-17 8491
SpringBoot禁止内置Tomcat安全HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
Springboot如何禁止安全Http方法tomcat可用)
qq_43248658的博客
05-24 7982
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbed...
Tomcat禁用不安全HTTP方法经历
shen3422的博客
09-21 3573
主要是在tomcat的web.xml或者项目的web.xml中配置以下参数 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; ...
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 4299
内嵌tomcat升级版本
SpringBoot2.x系列教程(三十九)SpringBootSecurityConstraint使用详解
程序新视界
02-06 4715
针对Web应用中数据的敏感程度,可采用httphttps进行访问。而在Spring Boot中也可以通过重新定义TomcatServletWebServerFactory的具体实现来达到不同层级数据的安全访问形式。比如,静态资源采用http访问,非静态资源采用https进行访问。 具体到代码使用,以Spring Boot为例,可实现http调整到https的配置代码如下: @Configurat...
WEB漏洞-关闭不安全HTTP方法
踮脚敲代码
12-19 6481
一.测试过程 通过手工测试,站点启动了不安全HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
Spring boot内置tomcat原理解析
05-19
Spring Boot是一个基于Spring框架的快速开发工具,可以帮助我们快速搭建Spring项目,并提供了内置Tomcat容器来运行我们的Web应用程序。下面是Spring Boot内置Tomcat的原理解析: 1. Spring BootTomcat嵌入到应用程序中,并将其打包成一个可执行的JAR文件。 2. 在启动应用程序时,Spring Boot会初始化内置Tomcat容器,并将应用程序部署到容器中。 3. 内置Tomcat容器与外部Tomcat容器不同,它不需要通过外部服务器来启动和管理。 4. 内置Tomcat容器使用的是Tomcat的嵌入式API,这个API允许我们在代码中以编程的方式配置和启动Tomcat容器。 5. Spring Boot可以自动配置Tomcat容器,这样我们就可以快速地搭建一个Web应用程序,而不需要手动配置Tomcat。 6. 内置Tomcat容器还支持热部署,也就是说,当我们修改了应用程序的代码后,容器可以自动重新加载应用程序,而不需要重启容器。 总之,Spring Boot内置Tomcat的机制非常简单和方便,使得我们可以更加专注于业务逻辑的开发,而不需要过多地关注容器的配置和管理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值