Tomcat java web 禁用HTTP 方法

原创 2016年07月12日 13:44:07

Tomcat java web 禁用HTTP 方法


配置tomcat,conf/web.xml 或 应用的web.xml

 <security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>


此方法,适用于静态资源和实现了doGet、doPost方法的servelt类的服务。一般现代web应用大多采用Spring MVC框架,DispatchServelet的父类重org.springframework.web.servlet.FrameworkServlet重写了javax.servlet.http.HttpServlet的doGet、doPost、doPut、doDelete、doOptions、doTrace,对应HTTP 的标准方法。

DispatchServelet处理每一个请求时,由javax.servlet.http.HttpServlet的service方法进行处理,因此,HTTP的标准方法都会被处理。单纯的配置web.xml无法禁用掉HTTP方法。

Spring MVC 禁用HTTP OPTIONS方法

在应用的web.xml中修改spring mvc的配置:

<servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>s2jh.biz.util.CustomerDispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>/WEB-INF/spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
        <async-supported>true</async-supported>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>



重写DispatcherServlet的doOptions方法:

/**
 * 自定义 Spring MVC DispatcherServlet 
 * Disabled HTTP OPTIONS METHOD
 */
public class CustomerDispatcherServlet extends DispatcherServlet {

	private static final Logger LOGGER = LoggerFactory.getLogger(CustomerDispatcherServlet.class);
	
	
	private static final long serialVersionUID = 8018418118826214565L;

    private static final ResourceBundle lStrings = ResourceBundle.getBundle("javax.servlet.http.LocalStrings");
    
    private static final String METHOD_OPTIONS = "OPTIONS";
    
	@Override
	protected void doOptions(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		methodNotAllowed(METHOD_OPTIONS, response);
		LOGGER.warn("HTTP OPTIONS DISABLED.");
	}
	
	/**
	 * DISABLED HTTP METHOD
	 * 
	 * @param methodName
	 * @param response
	 * @throws IOException
	 */
	private void methodNotAllowed(String methodName, HttpServletResponse response) throws IOException { 
		 String errMsg = lStrings.getString("http.method_post_not_supported");
         Object[] errArgs = new Object[1];
         errArgs[0] = methodName;
         errMsg = MessageFormat.format(errMsg, errArgs);
         
         response.sendError(HttpServletResponse.SC_METHOD_NOT_ALLOWED, errMsg);
	}
	
}


使用命令测试:

curl -v -X OPTIONS http:/localhost:8080/test.htm




tomcat 禁用不安全的http请求模式

tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) /* PUT DELETE HEAD ...
  • owen5630
  • owen5630
  • 2015年07月29日 10:19
  • 17783

tomcat 禁用不安全的http请求方式

1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>    ...
  • happyqwz
  • happyqwz
  • 2017年01月03日 14:13
  • 1898

[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

使用了360网站安全检测 查到有OPTIONS方法 第一步:修改应用程序的web.xml文件的协议 xml version="1.0" encoding="UTF-8"?>...
  • qq_35624642
  • qq_35624642
  • 2017年06月10日 09:51
  • 2175

关闭不安全的HTTP方法

在web.config----节点内添加如下代码:                                                         ...
  • wei_jie_zhang
  • wei_jie_zhang
  • 2016年02月17日 11:11
  • 1761

在JAVA WEB项目中禁止EL的三种方法

只要Web服务器支持Servlet 2.4/JSP 2.0及其以上的标准,程序员就能在JSP页面中使用EL来减少页面JAVA代码。在JSP2.0之前的版本中不能支持EL,因此,高版本JAVA WEB为...
  • u013181154
  • u013181154
  • 2013年12月19日 00:07
  • 838

tomcat下禁用不安全的http方法

tomcat下禁用不安全的http方法 WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议...
  • chidy
  • chidy
  • 2016年12月26日 23:03
  • 4358

JSF探索--URL映射,web.xml配置

web.xml配置 Faces Servlet javax.faces.webapp.FacesServlet 1 Faces Servle...
  • lovelovelovelovelo
  • lovelovelovelovelo
  • 2015年06月16日 21:38
  • 1350

tomcat禁止PUT等方法

  • 2016年03月29日 16:20
  • 21KB
  • 下载

tomact web.xml配置参考

web.xml配置参考
  • lebushu
  • lebushu
  • 2016年05月19日 17:43
  • 2101

在apache禁止 http OPTIONS方法. apache disable http OPTIONS method

Deny from all 或者用rewrite RewriteCond %{REQUEST_METHOD} ^(OPTIONS) RewriteRule .* - [F]...
  • kimsung
  • kimsung
  • 2013年04月17日 09:27
  • 7467
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Tomcat java web 禁用HTTP 方法
举报原因:
原因补充:

(最多只允许输入30个字)