Java部署Tomcat服务,安全风险的修改

最新推荐文章于 2023-08-25 14:36:44 发布
最新推荐文章于 2023-08-25 14:36:44 发布
阅读量489 收藏
点赞数 1
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjniujw1024/article/details/103176932
版权
本文介绍了如何在Java的Tomcat服务器中通过修改web.xml配置文件,启用HttpHeaderSecurityFilter以防止ClickJacking攻击,并限制不安全的HTTP方法如PUT, DELETE等,确保服务安全。" 50838515,5609479,iOS开发:实现长按图片保存到相册,"['iOS开发', '图片处理', '手势识别']
摘要由CSDN通过智能技术生成

在Tomcat的web.xml中加载以下内容,重新启动服务即可

<filter>
    <filter-name>httpHeaderSecurity</filter-name>
    <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
    <init-param>
        <param-name>antiClickJackingEnabled</param-name>
        <param-value>true</param-value>
    </init-param>
    <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>ALLOW-FROM</param-value>
    </init-param>
    <async-supported>true</async-supported>
  </filter>

  <filter-mapping>
     <filter-name>httpHeaderSecurity</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
  </filter-mapping>

 

最低0.47元/天 解锁文章
臭臭在奔跑
关注
专栏目录
漏洞修复:检测到目标服务启用了OPTIONS方法
yjfkeifk的博客
07-01 1142
IIS+asp.net网站,使用绿盟和。
java 漏洞 项目用了危险的方法_从RainbowBridge看Js与Java交互中的安全漏洞
weixin_39939601的博客
03-07 197
文/OPPO子午互联网安全实验室【Zery】前言Hybrid混合开发模式正在被越来越多的APP所使用,这种模式中一个绕不开的话题就是Js如何与Java进行交互,而早在Android 4.2之前的版本中,由webview提供Js与java交互的addjavascriptInterface接口就出现了严重的安全漏洞,虽然此后Android限制了只有添加@JavascriptInterface的方法才可...
Java服务启用安全的http方法解决方式
说不如做
08-20 1702
说明 如果启用了不必要的HTTP方法可能会带来安全问题,如果启用了不必要的HTTP方法可能会带来安全问题。 解决方式是可以禁用掉不必要的方法。 解决 进入tomcat修改conf目录的web.xml信息。 打开web.xml vim web.xml 添加如下配置信息: <security-constraint> <web-resource-collection> <web-resource-name>fortune</web-reso
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法漏洞修复
LENGTH18的博客
08-27 4228
WebSphere启用了TRACE,OPTIONS等不安全的HTTP方法 因甲方要求项目必须基于was服务器运行,在基于was服务器的安全扫描时发现漏洞,由于对was服务器的不熟悉,并且相关was问题搜索结果甚少,导致修复5个漏洞耗时4天才得以修复,此帖子记录修复方式和踩过的坑。 安全扫描出的漏洞中其主要漏洞为未关闭http的不安全请求方式,基于现有系统只有get和post请求,下面方法除get和post方式请求其余全部拦截,主要方式通过拦截去获取当前请求方式,判断是否允许访问。 扫描出来漏洞为下面五个,其
绿盟漏扫系统漏洞及修复方案
DEFT1998的博客
02-19 1万+
绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。 2.HTTP X-XSS-Protection 响应头是 Inte
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务启用了OPTIONS方法。 OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
tomcat服务安全设置方法
09-29
Tomcat服务安全设置方法涉及多方面,目的是降低被攻击的风险、增强系统的安全性。首先,Tomcat是一个支持Servlet和Java Server Pages (JSP)技术的HTTP服务器,它为开发者提供了一个可扩展的平台来部署Web应用程序...
tomcat 安全规范(tomcat安全加固和规范)
09-29
- **改变应用根目录**:将应用部署Tomcat安装目录之外的独立位置,增强应用安全性。 ### 5. 隐藏版本信息 修改`$CATALINA_HOME/lib/catalina.jar`内的`ServerInfo.properties`文件,隐藏Tomcat的具体版本信息,...
Tomcat服务安全设置第1/3页
09-30
确保运行TomcatJava版本是最新的,并且没有已知的安全问题。定期更新JDK,避免使用已过时的Java版本。 **10. 定期备份** 定期备份服务器数据和配置,以便在发生安全事件时能迅速恢复。备份应当存储在安全的地方...
企业级Tomcat部署实践及安全调优1
08-03
部署Tomcat时,应确保Tomcat版本与开发所用版本一致,同时JDK版本也需要与Tomcat相匹配。在本文示例中,系统环境是CentOS 7.4,使用以下命令查看系统信息: ```bash [root@web03 ~]# cat /etc/redhat-release ...
通过options探测服务器信息,WEB服务启用了OPTIONS方法
weixin_30843553的博客
08-10 2146
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
服务器上启用了TRACE,OPTIONS || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制
大河向东流的博客
11-07 3583
服务器上启用了TRACE方法 || 服务器允许OPTIONS方法 || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制 1.修改Tomcat下的web.xml文件 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;http-method&gt;OP...
Apache WEB服务启用了OPTIONS方法
lizhihua0625的博客
08-18 1245
Apache WEB服务启用了OPTIONS方法
关于options请求的一点理解
weixin_30951389的博客
07-30 1877
最近最项目改造,对所有的ajax请求统一做了一点处理,发现原来很正经的ajax请求突然不正常了,每个ajax之前都多了一个相应的method为options的请求。虽然之前知道ajax的请求中method有这个,但是一直没怎么去了解过,这次复盘做个小的学习总计吧~ 什么是options请求?为什么会有options请求? 首先还是看一下官方或者比较官方的定义: HTTP 的 OPTIO...
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页...
Nginx常见漏洞处理
最新发布
a630192144的博客
08-25 3208
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
Tomcat相关的安全扫描漏洞记录
凉茶冰
11-13 2909
目录 1.SSLv3漏洞(CVE-2014-3566) 2.检测到错误页面web应用服务器版本信息泄露 3.点击劫持:X-Frame-Options未配置 4.检测到目标服务启用了OPTIONS方法 参考文献 1.SSLv3漏洞(CVE-2014-3566) 备注:SSLv3漏洞(CVE-2014-3566),该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击...
启用危险Method
曉儂
09-06 3470
漏洞名称: 启用危险Method 描述: 目标WEB服务启用了TRACE Method。 1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。 2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。 危害: 1. 恶意...
Tomcat安全加固指南:保护你的Java web服务
在网络安全日益重要的今天,Tomcat服务器作为Java Web应用的常用平台,其安全加固显得至关重要。默认的Tomcat配置可能存在一些安全隐患,因此需要进行一系列的安全优化措施来提高服务器的防护能力。本教程将详细阐述...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值