设置TRANSPORT-GUARANTEE=CONFIDENTIAL保护敏感资源

最新推荐文章于 2020-04-24 11:33:56 发布
最新推荐文章于 2020-04-24 11:33:56 发布
阅读量3.6k 收藏 1
点赞数
分类专栏: Java

开发运行环境:WebLogic 12.1.1 开发版

本文最后一次修改日期:2013-06-08

为了保护Web应用中的敏感数据,防止资源的非法访问和保证传输的安全性,Java Servlet 2.2规范定义了安全约束(Security-Constraint)组件,它用于指定一个或多个Web资源集的安全约束条件;用户数据约束(User-Data-Constraint)组件是安全约束组件的子类,它用于指定在客户端和容器之间传输的数据是如何被保护的。

用户数据约束组件还包括了传输保证(Transport-Guarantee)组件,它规定了客户机和服务器之间的通信必须是以下三种模式之一:NONE、INTEGRAL、CONFIDENTIAL。NONE表示被指定的Web资源不需要任何传输保证;Integral表示客户机与服务器之间传送的数据在传送过程中不会被篡改;Confidential表示数据在传送过程中被加密。大多数情况下,INTEGRAL或CONFIDENTIAL是使用SSL实现。

本文就是通过实验验证当设置transport-guarantee=CONFIDENTIAL后,原来被保护的资源,将自动从HTTP协议,转到HTTPS协议。

当然,前提是你已经配置了SSL,关于如何配置SSL请参考《
WebLogic Server基本管理之十:配置单向SSL认证》和《
WebLogic Server高级管理之九:配置双向SSL认证》。

1. 配置SSL

2. 在web.xml中设置transport-guarantee=CONFIDENTIAL

这里使用《
JMeter_003:压力测试指南之三:测试Form安全认证的Web应用》中用到的HelloFormAuth.war应用。

3. 重新发布应用

访问:http://localhost:7001/HelloFormAuth/index.jsp,会发现首先提示“网站证书有问题”,确定风险并继续后,请求将自动Redirect到https://localhost:7002/HelloFormAuth/index.jsp。

这说明设置transport-guarantee=CONFIDENTIAL后,原来被保护的资源,将自动从HTTP协议转到HTTPS协议。




参考文献:

1. http://wenku.baidu.com/view/1c48b00a76c66137ee0619c5.html

2. http://blog.sina.com.cn/s/blog_68ef797801016f9z.html HTTPS

3. http://blog.mc-thias.org/?title=tomcat_and_ssl_redirection&more=1&c=1&tb=1&pb=1

4. http://stackoverflow.com/questions/7790141/security-constraint-configuration-inside-web-xml-for-tomcat

跨时代135
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP协议与HTTPS协议区别及SSL配置方式
willem的博客
07-20 867
简介 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信
Tomcat SSL 配置
一笑一疯癫的博客
07-13 249
Using JDK 7 and Tomcat 7, similar to other versions. Step: 1. 用Java去创建一个keystore文件,执行 keytool genkey - alias tomcat - keyalg RSA. 因此在用户主目录,创建了一个keystore文件。 C:\Users\calvin.yang>k
JSP页面中限制对 Web 资源的访问
xiantingxinbuone的专栏
08-18 2719
现在,可以指示服务器使用何种验证方法了。“了不起,”你说道,“除非我能指定一个来收到保护的URL,否则没有多大用处。”没错。指出这些URL并说明他们应该得到何种保护正是security-constriaint元素的用途。此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、auth-constraint、
web.xml文件中的7个错误的安全配置
weixin_30673611的博客
01-29 311
关于Java的web.xml文件中配置认证和授权有大 量 的 文章。本文不再去重新讲解如何配置角色、保护web资源设置不同类型的认证,让我们来看看web.xml文件中的一些常见的安全错误配置。 (1) 自定义的错误页面没有配置 默认情况下,Java Web应用在发生错误时会将详细的错误信息展示出来,这将暴露服务器版本和详细的堆栈信息,在有些情况下,甚至会显示Java代码的代码片段。这些信息对...
一篇关于web.xml配置的详细说明(三)
黄刚的专栏
03-18 1053
  m>...2) 几乎总是分配一个明确的URL模式。对servlet,一般相应地使用以http://host/webAppPrefix/servlet/ 开始的缺省URL。只需记住,使用注册名而不是原名称即可。这对于JSP页面在技术上也是合法的。例如,在上面给出的例子中,可用URL http://host/webAppPrefix/servlet/PageName 访问RealPage.jsp的
web.xml中<security-constraint>和四种认证类型
飞鹰
11-01 509
&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,但可以被单独使用。如果没有 &lt;auth-constra...
JSP页面中限制对Web资源的访问
02-24
<transport-guarantee>CONFIDENTIAL</transport-guarantee> <description>Data must be transmitted securely. </user-data-constraint> </security-constraint> ``` #### 五、总结 通过上述步骤,在 JSP 页面...
apache-tomcat配置SSL双向认证
02-26
<transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> ``` 完成以上步骤后,Tomcat服务器便配置好SSL双向认证。现在,客户端在访问服务器时需要提供有效的...
为tomcat服务器配置https,tomcat需要设置的server.xml与web.xml配置
03-10
<transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> ``` 这将保护应用程序中的所有URL,并确保数据通过HTTPS传输。 完成上述配置后,重启Tomcat服务器,...
weblogic启用Https1
08-08
<transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> ``` 这个配置告诉 WebLogic,所有以 `/medical/` 开头的 URL 必须通过 HTTPS 进行访问。`<transport-...
tomcat http接口修改https接口操作流程
09-24
<transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint> ``` `<transport-guarantee>CONFIDENTIAL</transport-guarantee>`确保了传输数据的机密性,这意味...
AppScan扫描建议
czscyb的专栏
04-22 1万+
1.1        AppScan扫描建议 若干问题的补救方法在于对用户输入进行清理。  通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。  建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符号) [3];(
Tomcat的Https设置及Http自动跳转Https
热门推荐
zhangxing
06-01 3万+
1.场景还原 近期项目中要对信息传输过程中进行安全加密,那么第一时间浮现笔者脑海的当然是https,接下来笔者将介绍如何在web服务器Tomcat中配置Https及Http自动跳转Https2.Https相关介绍 Https是由NetScape公司设计的一个基于Http的加密传输协议,可以这样理解Https = Http +SSL(安全套接层),Https的端口为443,而且还需要申...
tomcat配置ssl证书实现网站https访问
zlt的博客
04-17 2237
一.申请证书 申请过程略。 fileauth.txt、.jks秘钥文件和秘钥密码 二、配置 工程代码 (1)上传证书文件,文件位置: WebRoot/.well-known/pki-validation/fileauth.txt (2)web.xml增加如下代码: <security-constraint> <web-resource-collection> ...
一篇关于web.xml配置的详细说明
gdsy的专栏
06-27 1669
1 定义头和根元素部署描述符文件就像所有XML文件一样,必须以一个XML头开始。这个头声明可以使用的XML版本并给出文件的字符编码。DOCYTPE声明必须立即出现在此头之后。这个声明告诉服务器适用的servlet规范的版本(如2.2或2.3)并指定管理此文件其余部分内容的语法的DTD(Document Type Definition,文档类型定义)。所有部署描述符文件的顶层(根)元素为web-ap
Linux下tomcat配置https
youarenowhere的博客
04-24 2064
这里写自定义目录标题【1】服务器开启443端口【2】域名管理网站申请CA证书【3】tomcat配置3.1 解压已下载保存到本地的Tomcat证书文件。3.2 在Tomcat安装目录下新建cert目录,将解压的证书和密码文件拷贝到cert目录下。3.3. 文件路径:Tomcat安装目录/conf/server.xml3.3.1 去掉以下内容注释3.3.2 参照以下内容修改【1】服务器开启443端口...
配置Tomcat使用https协议(SpringMVC配置SSL协议)
江南雨
10-23 9145
  一、生成安全证书 二、配置tomcat 服务器 1、个人环境: jdk 1.8  tomcat 7 2、生成安全证书:在jdk的安装目录下的 D:\Program Files (x86)\Java\jdk1.8.0_131\bin 目录下有keytool.exe     这个就是sun(oracle)公司提供的生成安全证书的工具 3、创建证书的命令: keytool -genkey...
如何配置https访问tomcat
8豆少爷博客
12-11 3251
1.     首先确定已经安装了JDK或JRE,并配置java运行环境。 OnWindows: C:\>set JAVA_HOME=C:\Program Files\Java\jdk1.6.0_16 C:\>set PATH=%JAVA_HOME%\bin;%PATH% On Linux: # exportJAVA_HOME=/usr/java/latest # exportPATH=
tomcat配置Strict-Transport-Security
最新发布
05-12
<transport-guarantee>CONFIDENTIAL</transport-guarantee> <enforce>true </user-data-constraint> </security-constraint> ``` 这将告诉 Tomcat 只允许通过 HTTPS 访问您的应用程序,并且在客户端第一次访问您...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值