最近有个小工程扫描出一个安全漏洞, SlowHttp慢速攻击的,需要修改 Tomcat 的配置,也正好关于 Tomcat 的参数调优,正好记录一下。
漏洞信息
查了一下这个漏洞,漏洞有两个解决方法,
1 是通过 Nginx
2 是 Tomcat 设置超时时间
关于这个漏洞,可以看下以下这篇博客:
https://www.cnblogs.com/xiaoliu66007/p/10174672.html
看了下项目好像没有 Nginx,所以还是设置超时时间吧。
配置 Spring Boot 内置 Tomcat 参数的时候,需要区分 Spring Boot 的 版本,刚开始的时候我用的是 2.0 以下的方法,发现提示 EmbeddedServletContainerCustomizer 不存在,后来查询才发现,2.0 往上的版本写法不一样了。
1.x 版本通过实现 org.springframework.boot.context.embedded.EmbeddedServletContainerCustomizer 的customize方法来实现自定义配置。
2.x 版本使用 WebServerFactoryCustomizer 接口替换 EmbeddedServletContainerCustomizer 组件完成对嵌入式Servlet容器的配置。
解决的话看下自己对于的版本来进行配置。
解决
Spring Boot 1.x 版本
import org.apache.catalina.connector.Connector;
import org.apache.coyote.http11.Http11NioProtocol;
import org.springframework.boot.context.embedded.EmbeddedServletContainerFactory;
import org.springframework.boot.context.embedded.tomcat.TomcatConnectorCustomizer;
import org.springframework.boot.context.embedded.tomcat.TomcatEmbeddedServletContainerFactory;
import org.springframework.context.annotation