【SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞】

已于 2023-10-23 16:39:45 修改
阅读量2.1k 收藏 6
点赞数 1
分类专栏: SpringBoot 文章标签: java spring boot 安全威胁分析
于 2023-10-20 11:17:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZQL666123/article/details/133942138
版权

SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞

SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞

小伙伴们在进行漏洞扫描的时候经常会遇到启用OPTIONS方法这个中危漏洞,要想修复这个漏洞其实只要做以下配置就行。

禁用OPTIONS请求方法可以通过自定义过滤器来实现

import org.springframework.stereotype.Component;  
import org.springframework.web.filter.GenericFilterBean;  
  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;  
  
@Component  
public class OPTIONSFilter extends GenericFilterBean {  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
            throws IOException, ServletException {  
  
        HttpServletRequest req = (HttpServletRequest) request;  
        HttpServletResponse res = (HttpServletResponse) response;  
  
        // 判断请求方法是否为OPTIONS  
        if (req.getMethod().equals("OPTIONS")) {  
            // 设置响应头信息,禁止OPTIONS请求  
            res.setHeader("Allow", "GET, POST, HEAD, PUT, DELETE");  
            res.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);  
            return;  
        }  
  
        // 继续处理其他请求  
        chain.doFilter(request, response);  
    }  
}

我们创建了一个名为OPTIONSFilter的过滤器,它继承了GenericFilterBean。在doFilter方法中,我们首先判断请求方法是否为OPTIONS,如果是,则设置响应头信息,并返回HTTP 405错误状态码,表示不允许使用OPTIONS方法。如果不是OPTIONS请求,则继续处理其他请求。

要使用这个过滤器,需要在Spring Boot的配置文件中进行配置。例如,在application.properties文件中添加以下内容:

# 配置过滤器  
spring.servlet.filter.order=1

这将确保过滤器在所有其他过滤器之前执行。然后,在@Configuration类中添加以下内容:

import org.springframework.context.annotation.Bean;  
import org.springframework.context.annotation.Configuration;  
import org.springframework.web.filter.GenericFilterBean;  
  
@Configuration  
public class WebConfig {  
  
    @Bean  
    public OPTIONSFilter optionsFilter() {  
        return new OPTIONSFilter();  
    }  
}

这将创建一个名为optionsFilter的Bean,并将其注册到应用程序上下文中。现在,当接收到OPTIONS请求时,将会返回405错误状态码,并且响应头信息中将包含允许的请求方法。

带枪的刺猬
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 404
项目运行过程,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
SpringBoot 项目[若依项目禁止OPTIONS等不安全请求] 增加 OPTIONS安全请求处理
qq_33317238的博客
12-23 6201
SpringBoot 若依 禁用 OPTIONS请求
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE不安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx的配置: server { listen ...
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1258
渗透测试结果为 不安全的HTTP方法 OPTIONSspring项目可通过设置tomcat 或者 nginx 禁止
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 695
Web服务器上启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求
Spring 后端处理options请求,解决跨域问题
zhanghe_zht的博客
06-08 6796
@ResponseBody @RequestMapping(value = {"/change","/add","/delete"}, method = RequestMethod.OPTIONS) public String options(HttpServletResponse resp,HttpServletRequest request){ setCORS(resp,request); return "success"; } private void setCORS(HttpSer
跨域请求避免OPTIONS请求(预检请求
热门推荐
Turbo
07-06 1万+
有时候前后端分离域名不一致,会造成跨域请求 而跨域请求有时候会自动发起两次请求,第一次为预检请求,即OPTIONS请求 一般来说使用 application/json 的 post 请求是必然会带入OPTIONS请求 OPTIONS请求也被称为预检请求,主要用于获知服务端支持的HTTP请求方法。跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,配合预检请求可获知服务器允许哪些源站通过浏览器有权限访问哪些资源。 但是在有些get请求也会OPTIONS请求,这里补充下回发生options的情况 当发
Nginx 设置禁用 OPTIONS 请求以及允许跨域
wd520521的博客
05-10 6998
1、修改 nginx 配置 在 nginx.conf 配置文件,增加如下内容: if ($request_method ~* OPTIONS) { return 403; } 效果如下:(如果配置了SSL,则需要在SSL也配置一下) 2、重启 nginx 服务 /usr/local/nginx/sbin -s reload systemctl restart nginx service nginx restart 3、功能验证 使用如下命令: curl .
Vue使用axios出现options请求方法
10-16
在本例,Vue应用的axios.post()方法触发了这个OPTIONS请求。这是因为POST请求在CORS策略下被认为是不安全的,所以浏览器会先发送OPTIONS请求来确保服务器允许这种类型的请求。以下是相关知识点的详细说明: 1. ...
options配置流程_options配置是啥_zip_嵌入式系统设计_
09-29
在软件工程,特别是嵌入式系统领域,options配置是指在构建或部署系统时,用户可以根据项目需求选择启用禁用某些功能、设置参数或者调整性能指标的过程。这些选项可以包括硬件驱动、库支持、编译器选项等,以确保...
mssql2005注入方法小结
09-14
在本文,我们将深入探讨针对Microsoft SQL Server 2005(简称mssql2005)的SQL注入方法,以及如何利用这些方法进行数据库的探测、数据泄露和权限提升。 1. **爆库语句** 爆库语句主要用于获取数据库服务器上的...
vue-cli脚手架搭建的项目去除eslint验证的方法
10-17
在 Vue CLI 创建的项目,Eslint 集成在构建流程,通常会与Prettier一起工作,以确保代码风格的一致性。然而,对于初学者或某些开发者来说,Eslint 的严格检查可能会带来困扰,他们可能会想要暂时禁用或完全去除 ...
options.zip
最新发布
08-28
在大多数应用程序,选项页面允许用户自定义软件的行为,如改变外观、启用禁用功能、调整性能设置等。CSS在这个场景下起到美化和组织界面元素的作用,确保用户能清晰、舒适地查看和修改设置。 【标签】虽然未...
常见安全漏洞及其解决方案
A_991128a的博客
06-17 6213
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
漏洞挖掘-不安全的HTTP方法
weixin_48421613的博客
01-09 3510
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程,几乎是习惯性的看了一眼OPTIONS方法OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
Web 应用程序报告: 启用了不安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 4873
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
vue 解决axios会发送options请求
qq_38253703的博客
04-17 4625
问题描述: Vue的开发者都知道axios,很多都用axios来进行数据交互,axios的默认请求头是Content-Type: application/json 使用这个请求头会出现向服务器请求两次的情况 为什么呢? 原因是:浏览器会首先使用 OPTIONS 方法发起一个预请求,判断接口是否能够正常通讯,如果不能就不会发送真正的请求过来,如果测试通讯正常,则开始真正的请求。 这样每个请求都会发送...
启用了不安全的“options”http 方法
08-15
对于启用了不安全的 "OPTIONS" HTTP 方法,这可能会导致一些安全风险。 "OPTIONS" 方法通常用于客户端向服务器查询其支持的请求方法列表。然而,由于其不安全性,许多开发人员选择禁用或限制此方法。 如果你的应用程序启用了不安全的 "OPTIONS" 方法,攻击者可能会利用该漏洞来获取有关服务器的敏感信息,例如支持的其他请求方法、目标应用程序的架构等。攻击者还可以使用 "OPTIONS" 方法来探测服务器上的任何其他潜在漏洞。 为了解决这个问题,你可以在服务器配置禁用或限制 "OPTIONS" 方法。具体的实现方法取决于你使用的服务器软件和框架。例如,对于 Apache 服务器,你可以通过修改 .htaccess 文件或配置文件来禁用 OPTIONS 方法。 另外,确保你的应用程序在处理 HTTP 请求时进行了适当的输入验证和过滤,以防止任何潜在的攻击。这包括验证和过滤请求的参数、路径和标头,以防止恶意输入。 总之,禁用或限制不安全的 "OPTIONS" 方法可以提高你的应用程序的安全性,并减少潜在攻击的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值