TOMCAT关闭不安全的HTTP方法(PUT、DELETE、TRACE、OPTIONS等)

最新推荐文章于 2024-05-28 19:44:41 发布
最新推荐文章于 2024-05-28 19:44:41 发布
阅读量4.8k 收藏
点赞数
分类专栏: 技术文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doulicau/article/details/106684924
版权

WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。
现在主流的WEB服务器一般都支持WebDAV,那么如何禁止DELETE、PUT、OPTIONS、TRACE等协议访问应用程序应用程序呢?

解决方法:

在应用程序的web.xml中添加如下的代码即可:

<security-constraint>    
	<web-resource-collection>    
		<url-pattern>/*</url-pattern>    
		<http-method>PUT</http-method>    
		<http-method>DELETE</http-method>    
		<http-method>OPTIONS</http-method>    
		<http-method>TRACE</http-method>    
	</web-resource-collection>    
	<auth-constraint>    
	</auth-constraint>    
</security-constraint>    
<login-config>    
	<auth-method>BASIC</auth-method>    
</login-config>

 

doulicau
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全http方法...
weixin_34357887的博客
10-19 804
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
Java SpringBoot项目限制PUT、DELETETRACEOPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 492
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
禁用WebDAV-tomcat
xm_koma的专栏
07-20 777
     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。       WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一...
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4295
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcatweb.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONSHTTP请求方法,降低可攻击性。 解决办法 在tomcatweb.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
01-10
它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还...
安全http方法、CSRF等漏洞修复问题
01-07
安全HTTP 方法是指服务器开启了不安全HTTP 请求方法,如 DELETE、SEARCH、COPY、MOVE、MKCOL、LOCK、PROFIND、PROPATCH、TEACR、HEAD、PUT 等。攻击者可以利用该漏洞在 web 服务器上上传、下载、修改或删除 ...
tomcat同时使用httphttps访问的配置方法
01-10
针对一个tomcat中有的项目需要使用ssl加密有些可以直接访问的情况,可通过修改tomcat/conf下的server.xml来实现。具体配置可参考下面这段代码,注意”Catalina1″>这个标签中的配置。 <?xml version='1.0' ...
tomcat服务器安全设置方法
01-20
Tomcat是一个HTTP服务器,是Sun透过Java Community Process开发的、对广泛使用的Servlet和Java...Tomcat除了上述的两种技术保障安全之外,还可以通过配置Tomcat的参数以增加安全安全设置: 1. 删除webapps目录下
Asp.net控制Tomcat启动关闭的实现方法
01-20
一、场景 近日有个项目客户要求能自己配置相关权限。...所以我们要能通过网页控制Tomcat关闭启动,并加载进管理员系统中。 首先分析Tomcat的启动方式。在Tomcat6.0的bin目录下有两个批处理文件。startup.bat和
Java开启/关闭tomcat服务器方法
01-10
1.项目结构 2.CallTomcat.java ... import java.io.BufferedReader; import java.io.IOException; import java.io.... //String command = E:\\apache-tomcat-7.0.76\\bin\\startup.bat;//启动tomcat命令 //St
tomcat配置https的方法示例
01-10
Tomcat 目前只能操作 JKS、PKCS11、PKCS12 格式的密钥存储库。JKS 是 Java 标准的“Java 密钥存储库”格式,是通过 keytool 命令行工具创建的。该工具包含在 JDK 中。PKCS12 格式一种互联网标准,可以通过 OpenSSL ...
tomcat 安全规范(tomcat安全加固和规范)
09-29
**Tomcat安全规范详解** Tomcat作为一款广泛应用的开源Web服务器,因其高效的性能和良好的兼容性,被广大Web开发者所喜爱。然而,默认配置可能存在安全隐患,容易成为恶意攻击的目标。为了确保Tomcat安全运行,...
Tomcat的Server Options选项详解
09-30
主要介绍了Tomcat的Server Options选项详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
tomcat下禁用不安全http方法
lionzl的专栏
11-19 1385
 tomcat下禁用不安全http方法 博客分类:  java tomcatwebDav  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了
jetty禁用http put和delete方法的方式
shuipinglp的专栏
10-30 2099
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
tomcat 禁用不安全http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat修改web.xml配置禁用options方法
06-07
要禁用 Tomcat 中的 OPTIONS 方法,可以通过修改 web.xml 文件来实现。具体方法是在 web.xml 文件中添加一个名为 "default" 的 servlet,并将其映射到 "/*" 路径。然后,将 "default" servlet 的 "enableLookups" 属性设置为 false,即可禁用 OPTIONS 方法。 以下是一个示例 web.xml 文件的配置: ```xml <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param> <init-param> <param-name>enableLookups</param-name> <param-value>false</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>/*</url-pattern> </servlet-mapping> </web-app> ``` 在上面的配置中,将 "default" servlet 的 "enableLookups" 属性设置为 false,以禁用 Tomcat 中的 LOOKUP 和 OPTIONS 方法。注意,这种方法会禁用所有的 LOOKUP 和 OPTIONS 方法,包括可能被应用程序使用的那些。如果应用程序需要使用这些方法,应该使用其他方法来限制它们的使用,例如使用过滤器或拦截器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值