security-constraint引起的HTTP Status 403 问题

最新推荐文章于 2023-09-15 16:21:21 发布
最新推荐文章于 2023-09-15 16:21:21 发布
阅读量515 收藏
点赞数
文章标签: Security Seam XHTML Tomcat JBoss
今天在实验seam的时候碰到了个问题,用seam-gen生成ear的页面文件是xhtml的,它默认的servlet url是以seam为后缀的,我改成了/faces/*,然后直接请求xhtml页面,结果提示[b]HTTP Status 403 - Access to the requested resource[/b],在google找到的都是要修改tomcat/conf/tomcat-users.xml,可我用的是jboss,没有这个文件,能不能直接添加我没试。可是以前从来没有影响过使用啊?
忽然我想到在web.xml中有这样一段: 
   <security-constraint> 
       <display-name>Restrict raw XHTML Documents</display-name>
       <web-resource-collection>
           <web-resource-name>XHTML</web-resource-name>
           <url-pattern>*.xhtml</url-pattern>
       </web-resource-collection>
       <auth-constraint/>
   </security-constraint>

查了手册,原来这段是用来保护资源的,结合权限管理才能访问,tomcat可以做到保护页面文件源码不被非法下载。直接删掉就没问题了,不过后来我还是换了个其他的servlet请求后缀而保留了上面的资源保护配置,因为xhtml不同于jsp,可以不用执行直接下载。
Mc_axe
关注
【Spring Security实战系列】Spring Security实战(五)
每一名出色的架构师,必定是一位优秀程序员
09-07 3629
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包
【Spring Security实战系列】Spring Security实战(三)
每一名出色的架构师,必定是一位优秀程序员
09-07 1305
Spring Security实战(二)中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文
security-constraint解决-启用不安全的http方法
kang1011的博客
11-13 2240
security-constraint解决-启用不安全的http方法 拦截具体的接口,避免一些不合规的方式直接请求攻击 <security-constraint> <web-resource-collection> <web-resource-name>securityUrl</web-resource-name> <url-pattern>/home.do&l
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 5006
解决使用Spring-Security框架发送请求出现403错误的问题
web.xml中security-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
安全约束 security Constraint
southwind1的博客
08-04 1116
以spring boot为例,因为spring boot中内嵌tomcat
Java Web 的 Security Constraint 配置
lyq123333321的专栏
12-30 4309
<br /><security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 <br /> 子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <au
解决多模块导致security配置失效
最新发布
天真吖的博客
09-15 184
security模块的包名必须为:com.wwb.XXX。例如主模块启动类包名为:com.wwb。
Acegi Security -- Spring下最优秀的安全系统
qq_44910624的博客
04-21 200
                 一 Acegi安全系统介绍    Author: cac 差沙     Acegi是Spring Framework下最成熟的...
Spring Cloud 之 Spring-Security
小尾寒羊的博客
07-31 4084
一、什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系...
学习记录 -- web.xml中security-constraint配置测试
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 -->
HTTP错误码303 See Other详解及应用场景
博客
08-14 6708
HTTP错误码303 See Other表示请求已经被服务器接收,但需要进一步的操作才能完成请求。它通常用于POST请求的响应,告诉客户端应该使用GET方法重新发起请求。例如,当用户提交一个表单后,服务器可能会返回303状态码,告诉浏览器应该使用GET方法重新请求一个新的URL,以防止用户刷新页面时重新提交表单。HTTP错误码303 See Other是一种用于重定向的状态码,在Web开发中有多种应用场景。它可以用于重定向到新的资源、重定向到其他网站以及防止表单重复提交等。
GET请求不安全的解决办法
weixin_36338164的博客
03-17 5369
此前在做一个项目时遇到GET请求路径被截获后引发项目组的担忧,此后通过文章所介绍的方法做了有效处理。先描述下问题,我们公司给客户开发项目,要用到微信公众号,然而公众号是由第三方公司维护,所以我们做微信的网页授权想获得用户的openid ,就必须请求到第三方,第三方代替我们做网页授权,最后第三方再把微信的openid 通过GET方式传给我们,问题恰恰就出现在最后的GET请求上。例如,GET路径是这样...
tomcat对于web.xml的security-constraint使用的处理机制
热门推荐
杨军的博客
11-22 3万+
知识点 web.xml中 的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  问题 对于
web.xml中security-constraint配置测试
孤城幻夜
10-24 3831
https://blog.csdn.net/tc2015/article/details/51774454
Tomcat安全域简介
weixin_43882265的博客
02-05 470
安全域是Web服务器用来保护Web应用的资源的一种机制。在安全域中可以配置安全验证信息,其用户信息(包括用户名和口令)以及用户和角色的映射关系。每个用户可以拥有一个或多个角色,每个角色限定了可访问的Web资源。安全域是Tomcat内置的功能,在org.apache.catalina.Realm接口中声明了把一组用户名、口令以及所关联的角色集成到Tomcat中的方法。Tomcat为 Realm接口提供了一些实现类。下表列出了常见的一些 Realm实现类,它们代表不同的安全域类型。安全域类型类名描述。
设置web工程安全访问(security-constraint
werewr342352321df的专栏
04-15 5440
<br />在我们web工程的web.xml中设置security-constraint属性(即安全-约束)<br /> 配置如下:<br /> <security-constraint><br /><br /> <web-resource-collection><br /> <web-resource-name>User Basic Auth</web-resource-name><br /> <url-pattern>/*</url-pattern><br />
spring-security出现403错误的情况以及解决方案
w135799的博客
09-27 1万+
第一种配置文件与java代码中设置权限不同导致 出现原因: 上面两张途中发现使用的权限不同,将两个权限改为相同即可。 第二种是CSRF问题 解决方法:在security的xml文件中加入以下代码即可 <!--用于解决csrf问题403--> <csrf disabled="true"/> ...
web.xml中的security-constraint
linj努力,奋斗
11-29 2823
/* PUT SEARCH DELETE COPY MOVE PROPFIND PROPPATCH MKCOL LOCK UNLOCK HEAD OPTIONS TRACE PATCH All Role --> BASIC 其中的, All Role 如果有元
security-constraint
04-12
b'security-constraint'是指在Java Web应用程序中配置安全约束的元素,用于限制对特定资源的访问权限。它通常包含一个或多个web-resource-collection和auth-constraint元素,用于指定受保护资源的URL模式、HTTP方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值