HOWTO:在 Tomcat 中禁用 HTTP 方法

最新推荐文章于 2024-06-13 13:38:22 发布
最新推荐文章于 2024-06-13 13:38:22 发布
阅读量1.7k 收藏 2
点赞数
文章标签: tomcat http servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/125911532
版权

介绍

在 Apache Web 服务器中,如果您想禁用对特定方法的访问,您可以利用 mod_rewrite 并禁用几乎任何东西,通常只需要一两行配置文件条目。在 Apache Tomcat 中,安全性是通过内置在 Java Servlet 规范中的安全约束来实施的。这些不包含在 tomcat 的主 server.xml 文件中,而是包含在 web.xml 配置文件中。

Java Servlet 规范包含一个相当完整的与安全相关的配置参数集合,其中允许您执行禁用 HTTP 方法、在特定 URI 上启用 SSL 以及允许基于用户角色访问特定资源等操作。安全约束是基于 Java 的应用程序中保护 Web 内容的方法。在安全相关扫描中出现的一个常见项目是网站或 Web 应用程序中允许的 HTTP 方法。对于我们这些使用 Apache Tomcat 而不是像 Apache 或 IIS 这样的前端 Web 服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。这个特定的 HOWTO 将检查禁用对特定 HTTP 方法的访问所需的步骤。

安全约束使用 xml 语法,就像 web.xml 中的其他配置指令一样。示例中的值以粗体显示以提供更好的可读性。示例 1 是一个基本网站,它只提供 JSP、图像、脚本和样式,并且不包含任何供用户填写的表单。Network Security 希望禁用除 HTTP HEAD 和 GET 请求之外的所有 HTTP 方法。

示例 1 - 基本网站 - 无表单

// Sample Security Constraint
 <security-constraint>
 <web-resource-collection>
  <web-resource-name><strong>restricted methods</strong></web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>POST</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

所有约束都以<security-contraint>部署描述符开始。它<web-resource-collection>包括一组 URI 和在该组 URI 中允许的 HTTP 方法。在上面的示例中,a <url-pattern>of /*(表示网站根目录下的所有内容GET都被限制为仅允许访问并且仅允许访问HEAD。将授权约束设置为<auth-constraint />,设置所有用户策略,因此此示例的字面意思是:“对于任何用户,拒绝访问 PUT、POST、DELETE、OPTIONS 和 TRACE 方法”。在库存 Tomcat 安装中,例如,如果我要向网站发送 HTTP OPTIONS 请求,它将起作用。在我新约束的配置中, OPTIONS 请求现在失败,HTTP 状态代码为 403 - Forbidden。

下面的第二个示例使我们的基本网站示例更进一步,其中提供了“联系我们”表单。站点用户将填写位于 /contact 下的表单,然后使用 HTTP POST 传递数据。

示例 2 - 带有联系表的基本网站

// Sample Security Constraint
 <security-constraint>
 <web-resource-collection>
  <web-resource-name>restricted methods</web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>POST</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

 <security-constraint>
 <web-resource-collection>
  <web-resource-name><strong>Contact Form</strong></web-resource-name>
  <url-pattern>/contact/*</url-pattern>
  <http-method>PUT</http-method>
  <http-method>DELETE</http-method>
  <http-method>OPTIONS</http-method>
  <http-method>TRACE</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

此处的约束模仿了上一个示例中的约束,但如果 URI 模式匹配,则会应用第二组约束/contact/*。在这种情况下,允许的方法是 GET、HEAD 和 POST。

结论

安全约束虽然不如 Apache Web 服务器中的那些完整,但却是保护 Web 应用程序的一种非常有用的方法。本 HOWTO 专注于在指定的 URI 上禁用 HTTP 方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。

allway2
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Howto: 在Tomcat上如何集成Pentaho和Liferay
03-05
同样,你也需要下载Pentaho BI Server,并将其部署到Tomcat。 2. **Pentahoportlet集成**:Pentaho提供了portlet,可以在Liferay作为插件运行。将Pentaho BI Server的portlet相关的JAR文件添加到Liferay的类...
howto:终端客户端的堆栈溢出
02-03
howto是用于获取stackoverflow的终端客户端。对于那些经常在搜索基本编程任务的人员来说,答案是正确的。 现在,它同时使用google和Stackoverflow来获取结果,因为让我们同意,google的搜索算法比stackoverflow的...
Nginx/Tomcat 关闭options方案
qianghong000的博客
03-24 1148
关闭options得根据服务器使用的WEB容器种类来决定方法,下面列举主流的。 nginx 参考: HTTP方法 评估结果 建议 说明 解决方案 HEAD 安全 无 除了服务器不能在响应返回消息体,HEAD 方法与 GET 相同。HEAD 请求的响应HTTP 头部包含的元信息应该与 GET 请求发送的响应的信息相同。该方法可用来获取请求暗示实体的元信息,而不需要传输实体本...
tomcat禁用不必要的http方法
pursue.dreams的博客
08-20 1285
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
Tomcat部署GeoServer跨域,OPTIONS请求403问题解决方式
最新发布
炸娃程序猿的博客
06-13 725
解决Tomcat部署GeoServer OPTIONS请求403的问题
Tomcat间件安全加固
wbxshi的博客
07-06 785
如果您希望禁用某些HTTP方法,可以配置Tomcat的/conf/web.xml文件里的。Tomcat/bin目录下的start.sh、catalina.sh、shutdown.sh的权限不高于744。编辑 Tomcat/conf/server.xml 配置文件,连接超时修改为5000秒。(4)更改port属性的值来更改Tomcat的默认端口。(5)切换到 Tomcat 用户,启动 Tomcat。(1)打开Tomcat安装目录下的conf文件夹。(3)将 Tomcat 目录改为 Tomcat
tomcat的安全配置(禁用http方法,部署多个应用,启用从安全cookie,指定错误页面和显示信息)...
weixin_30666753的博客
09-06 221
配置版本:tomcat6 1,虚拟路径,可以配置多个host在一个tomcat,docbase是web应用目录,此处在server.xml添加应用配置,要让server.xml配置生效需要重启tomcat <Host name="XXXXx" appBase="D:\webroot" unpackWARs="true" autoDeploy="true" ...
tomcat 禁用不安全的http请求模式(转)
iteye_4720的博客
12-14 554
tomcat 禁用不安全的http请求方式(转) 1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy /* PUT DELETE HEAD OPTIONS ...
Tomcat安全配置
沧笙踏歌的博客
06-02 3594
删除webapps目录的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
Tomcat过滤请求方式
q908544703的博客
06-02 1572
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
howtos:Howtos
04-07
在IT行业,"Howtos"通常指的是详细的指南或教程,帮助用户解决特定问题或完成特定任务。本主题的标题是"howtos:Howtos",这暗示我们将探讨一系列与Linux操作系统相关的技术指导文档。这些"Howtos"旨在为用户提供...
tomcat 禁用不安全的http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONSHTTP请求方法,降低可攻击性。 解决办法 在tomcatweb.xml设置一些参数即可: 可能web.xml以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7288
web安全响应头
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 698
Web服务器上启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
禁止tomcat不安全的HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4295
Tomcat版本 8.0.15 1、禁止tomcat不安全的HTTP请求方法 在 ./conf/web.xml 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
【安全扫描问题】在Web服务器禁用OPTIONS方法
IOS_Mainstay的博客
08-07 1万+
1、修改web.xml 的引入 &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" xsi:schemaLocation="http://j...
启用了不安全的http请求方法 OPTIONS
星语惜馨的博客
10-22 5776
tomcat配置: 在tomcatweb.xml添加如下的代码后重启tomcat,注意添加后只对tomcat下的目录有效。参照所需禁用http方法添加。 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
how to use std::enable_if<>
04-22
std::enable_if<> is a template utility in C++ that enables or disables certain functions or templates based on type traits. It takes two template arguments: a boolean condition and a return type. If the boolean condition is true, it returns the return type, otherwise it doesn't compile. Here's an example of how to use std::enable_if<>: ``` template <typename T> typename std::enable_if<std::is_integral<T>::value, bool>::type is_odd(T i) { return i % 2 != 0; } ``` In the above example, the function is_odd() takes a template parameter T, and returns a bool. However, it only compiles if std::is_integral<T>::value is true, i.e. T is an integer type. If T is not an integer type, the function will not be compiled. I hope this helps! Let me know if you have any other questions.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值