HTTP --- 基础 禁用PUT、DELETE、TRACE等方法

最新推荐文章于 2024-06-13 18:19:47 发布
最新推荐文章于 2024-06-13 18:19:47 发布
阅读量6.7k 收藏 12
点赞数 7
分类专栏: HTTP协议 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chou_qi/article/details/110459752
版权

HTTP — 基础 禁用PUT、DELETE、TRACE等方法

HTTP 服务

在httpd.conf中增加,只允许GET、POST、OPTIONS方法

<Location "/"> AllowMethods GET POST OPTIONS </Location>

重启apache

systemctl restart httpd.service

tomcat 禁用PUT、DELETE、TRACE等危险方法

在应用程序的web.xml中添加如下的代码即可:

<security-constraint>    
	<web-resource-collection>    
		<url-pattern>/*</url-pattern>    
		<http-method>PUT</http-method>    
		<http-method>DELETE</http-method>    
		<http-method>OPTIONS</http-method>    
		<http-method>TRACE</http-method>    
	</web-resource-collection>    
	<auth-constraint>    
	</auth-constraint>    
</security-constraint>    
<login-config>    
	<auth-method>BASIC</auth-method>    
</login-config>

jetty禁用http put和delete等方法的方式

1. 基于xml的配置方式

<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>PUT</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>

2. springboot项目,容器是jetty,版本 springboot 2.X


```java
@Bean
public JettyServletWebServerFactory createJettyServletWebServerFactory() {
return new JettyServletWebServerFactory(){
@Override
protected void postProcessWebAppContext(WebAppContext webAppContext) {

HttpConstraintElement disable = new HttpConstraintElement(ServletSecurity.EmptyRoleSemantic.DENY);
HttpMethodConstraintElement put = new HttpMethodConstraintElement("PUT", disable);
HttpMethodConstraintElement delete = new HttpMethodConstraintElement("DELETE", disable);
HttpMethodConstraintElement head = new HttpMethodConstraintElement("HEAD", disable);


ServletSecurityElement sse = new ServletSecurityElement(Arrays.asList(put, delete, head));
List<ConstraintMapping> mappings = ConstraintSecurityHandler.createConstraintsWithMappingsForPath("disable", "/*", sse);

ConstraintSecurityHandler csh = new ConstraintSecurityHandler();
csh.setConstraintMappings(mappings);
webAppContext.setSecurityHandler(csh);
}
};
}


*备注:不允许的情况下访问就会报告 http 403 forbidden 错误。*
丈剑走天涯
关注
  • 7
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jetty禁用http put和delete方法的方式
shuipinglp的专栏
10-30 2099
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
http:请托管这些东西-基本的http服务器,用于快速,简单地托管文件夹
02-03
和端口(从第一范围自由一个8000 - 9999 )) 投放文件的MIME类型正确 处理的请求方法:OPTIONS,GET,PUT,DELETE,HEAD和TRACE(“ write”方法默认为关闭,可通过-w开关启用) 正确处理百分比编码的网址(例如а...
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
朱晓龙的博客
05-14 7049
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
Java SpringBoot项目限制PUT、DELETETRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 540
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
渗透测试漏洞大全
最新发布
2301_76786857的博客
06-13 1206
由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。应用需要对输入进行检查,不允许用户直接提交未经过验证的数据到服务器,因为这些数据来不可编辑的控件,或者用户没有前端提交的权限,任何可编辑控件必须有阻止恶意的写入或修改的功能。网站登录失败、账号注册、密码找回等功能,有些网站会提示类似“用户名不存在”的错误,攻击者可以通过该提示先猜测出系统存在哪些账号,然后再进一步猜测密码,降低了暴力破解的成本。
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
jetty java 禁用目录列表_jetty禁用http put和delete方法的方式
weixin_29009669的博客
02-17 196
1. 基于xml的配置方式Example Security ConstraintProtected Area/*DELETEHEADPUT2. springboot项目,容器是jetty,版本 springboot 2.X@Beanpublic JettyServletWebServerFactory createJettyServletWebServerFactory() {return new...
禁用安全http方法
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
TOMCAT关闭不安全HTTP方法(PUT、DELETETRACE、OPTIONS等)
06-11 4830
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
Apache服务器关闭TRACE Method请求方式的方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人...
HTTP参考资料-pdf版
08-23
8. TRACE:回显服务器收到的请求,主要用于测试和诊断,通常出于安全考虑会被禁用。 9. PATCH:用于部分更新资源,与PUT的区别在于PATCH只更新资源的一部分,而PUT通常用于整体更新,且在资源不存在时,PATCH会创建...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
linux中Jetty的安装和配置方法
01-10
Jetty Jetty 是一个开源的servlet容器,它为基于Java的web内容,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。(Jetty是一个开源的软件,可以作为HTTP服务,javax.servlet的容器。) 配置jetty server的步骤:        创建server        配置connector        配置handler        配置servlet    
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
因为它开放了额外的HTTP方法,如PUT、DELETE、OPTIONS、TRACE和HEAD,这些方法可以被恶意用户利用,对服务器上的资源进行未经授权的修改或删除,从而造成数据泄露或服务破坏。因此,在不需要WebDAV功能或者希望增强...
验证禁用不全的http方法.txt
07-17
使用 curl -v -X TRACE http://baidu.com 测试 TRACE的 (http://baidu.cpm 这个是你自己的项目访问路径) 成功的信息如下: 不会在出现 Allow:POST、GET、DELETE、OPTIONS、PUT、HEA
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
HTTP】如何避免OPTIONS请求?
热门推荐
smart_dream
03-01 3万+
场景:在调用后端接口的时候会出现两次请求:OPTIONS请求和GET请求。OPTIONS请求耗费了一定的时间,需减少OPTIONS请求。 查找原因是浏览器对简单跨域请求和复杂跨域请求的处理区别。 XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守...
安全HTTP方法
冰雨蝶皇的博客
07-17 9290
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETETRACE和CONNECT WebDAV (Web-based Dist...
http的PUT、DELETE安全
u014644574的博客
12-19 9664
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全方法,那么post也是不安全方法了。 网上的说法也是分为两派,一派说这些都是不安全方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
springboot将Access-Control-Allow-Origin禁用
07-29
禁用Spring Boot应用程序的`Access-Control-Allow-Origin`,你可以通过配置Spring Security或使用WebMvcConfigurer来实现。 方法一:使用Spring Security配置 在Spring Security的配置类中,你可以通过添加以下配置来禁用`Access-Control-Allow-Origin`: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // 其他配置... .cors().disable(); } } ``` 这将禁用跨域资源共享(CORS)配置,从而禁用`Access-Control-Allow-Origin`。 方法二:使用WebMvcConfigurer配置 创建一个实现了WebMvcConfigurer接口的配置类,并覆盖addCorsMappings方法禁用`Access-Control-Allow-Origin`: ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**") .allowedOrigins("") .allowedMethods("") .allowedHeaders(""); } } ``` 在上述配置中,将allowedOrigins、allowedMethods和allowedHeaders都设置为空字符串,这将禁用允许的源,方法和头部,从而禁用`Access-Control-Allow-Origin`。 通过以上配置中的任何一种方法,你都可以禁用`Access-Control-Allow-Origin`,从而不允许任何跨域请求。请注意,这可能会导致一些功能无法正常工作,因此要谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值