springboot禁用内置Tomcat的不安全请求方法

最新推荐文章于 2024-07-04 16:49:04 发布
最新推荐文章于 2024-07-04 16:49:04 发布
阅读量2k 收藏 4
点赞数 1
分类专栏: 后端 文章标签: spring boot tomcat 安全
原文链接:http://www.javashuo.com/article/p-giekbgxn-nx.html
版权

原由:安全组针对接口测试提出的要求,须要关闭不安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。
用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html

tomcat传统形式经过配置web.xml达到禁止不安全的http方法

<security-constraint>  
       <web-resource-collection>  
          <url-pattern>/*</url-pattern>  
          <http-method>PUT</http-method>  
    	  <http-method>DELETE</http-method>  
    	  <http-method>HEAD</http-method>  
    	  <http-method>OPTIONS</http-method>  
    	  <http-method>TRACE</http-method>  
       </web-resource-collection>  
       <auth-constraint>  
       </auth-constraint>  
    </security-constraint>  
    <login-config>  
      <auth-method>BASIC</auth-method>  
    </login-config>

Spring boot使用内置tomcat,2.0版本之前使用以下形式

@Bean  
public EmbeddedServletContainerFactory servletContainer() {  
    TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1  
        protected void postProcessContext(Context context) {  
            SecurityConstraint securityConstraint = new SecurityConstraint();  
            securityConstraint.setUserConstraint("CONFIDENTIAL");  
            SecurityCollection collection = new SecurityCollection();  
            collection.addPattern("/*");  
            collection.addMethod("HEAD");  
            collection.addMethod("PUT");  
            collection.addMethod("DELETE");  
            collection.addMethod("OPTIONS");  
            collection.addMethod("TRACE");  
            collection.addMethod("COPY");  
            collection.addMethod("SEARCH");  
            collection.addMethod("PROPFIND"); 
            collection.addMethod("MOVE"); 
            securityConstraint.addCollection(collection);  
            context.addConstraint(securityConstraint);  
        }  
    };

2.0版本使用如下形式

@Bean
public ConfigurableServletWebServerFactory configurableServletWebServerFactory() {
    TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
    factory.addContextCustomizers(context -> {
        SecurityConstraint securityConstraint = new SecurityConstraint();
        securityConstraint.setUserConstraint("CONFIDENTIAL");
        SecurityCollection collection = new SecurityCollection();
        collection.addPattern("/*");
        collection.addMethod("HEAD");
        collection.addMethod("PUT");
        collection.addMethod("DELETE");
        collection.addMethod("OPTIONS");
        collection.addMethod("TRACE");
        collection.addMethod("COPY");
        collection.addMethod("SEARCH");
        collection.addMethod("PROPFIND");
        collection.addMethod("MOVE");
        securityConstraint.addCollection(collection);
        context.addConstraint(securityConstraint);
    });
    return factory;
}
菜狗小仪
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
chemyoo的博客
02-01 387
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
如何优雅的关闭基于Spring Boot 内嵌 Tomcat 的 Web 应用
l081499的博客
04-29 331
背景 最近在搞云化项目的启动脚本,觉得以往kill方式关闭服务项目太粗暴了,这种kill关闭应用的方式会让当前应用将所有处理中的请求丢弃,响应失败。这种形式的响应失败在处理重要业务逻辑中是要极力避免的,所以我们需要一种更加优雅的方式关闭springBoot应用。 基本思路 首先我们关闭一个微服务应用可以分为两大步骤 关闭web应用服务器 关闭spring容器 我项目中使用的是内置tomcat服...
spring boot使用内嵌的tomcat解决不安全的HTTP方法安全漏洞
caodongfang126的博客
06-21 2109
一:传统Web项目的解决方案: 在tomcat的web.xml配置文件中,对不安全方法进行拦截: <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
springboot项目怎么样排除自带tomcat容器使用宝蓝德bes web中间件?
独断万码
07-04 1133
springboot项目怎么样排除自带tomcat容器使用宝蓝德? springboot整合宝蓝德bes中间件 ,bes web容器
springboot禁止内置Tomcat安全的HTTP方法
wxCSDN1997的博客
12-02 1311
参考: 学习-Springboot禁止内置Tomcat安全的HTTP方法_liutinghui989的博客-CSDN博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
SpringBoot2.0中禁用内置Tomcat的不安全请求方法
Levent的博客
10-24 5869
禁用内置Tomcat的不安全请求方法 SpringBoot2.0之前版本 在SpringBoot2.0之前的版本中可以向容器注册[EmbeddedServletContainerFactory ]类实现对内置Servlet容器的配置 @Bean public EmbeddedServletContainerFactory servletContainer() { T...
学习-Springboot禁止内置Tomcat安全的HTTP方法
liutinghui989的博客
04-17 8379
SpringBoot禁止内置Tomcat安全的HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 2665
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
Spring Boot部署到Tomcat过程中遇到的问题汇总
08-27
1. **禁用内置Tomcat容器**: Spring Boot默认包含了一个内嵌的Tomcat服务器,这使得开发过程非常方便。然而,当你需要将应用部署到外部Tomcat时,必须告诉Spring Boot不要使用内置Tomcat。通过在`pom.xml`中将`...
springboot-keepalive设置测试
03-26
server.tomcat.accept-count=200 # 请求队列最大长度 server.tomcat.connection-timeout=30000 # 连接超时时间,单位毫秒 server.tomcat.keep-alive-timeout=60000 # keep-alive超时时间,单位毫秒 ``` 在进行...
基于SpringBoot家政服务管理系统.docx
最新发布
07-12
- **SpringBoot框架**:利用SpringBoot可以快速搭建Web应用,它内置Tomcat等容器,简化了配置过程,支持自动配置等功能,大大提高了开发效率。 - **MyBatis**:一个支持普通SQL查询、存储过程及高级映射的优秀持久...
基于SpringBoot的宠物猫认养系统论文.doc
05-19
- **嵌入式服务器支持**:SpringBoot内置Tomcat、Jetty等服务器的支持,开发者无需额外配置服务器即可运行应用。 #### 三、Vue框架简介及其优势 Vue.js是一个用于构建用户界面的渐进式框架,其主要特点包括: -...
基于springboot的编程训练系统源码数据库.doc
03-14
该框架内置Tomcat、Jetty或Undertow作为嵌入式容器,支持自动配置,简化了开发过程。 ##### 5.2 MySQL数据库 MySQL是一款开源关系型数据库管理系统,以其高性能、稳定性和安全性著称。在本系统中,MySQL被用来...
springboot2禁止内置Tomcat安全的HTTP方法
Leisurelyc的博客
02-20 336
springboot2禁止内置Tomcat安全的HTTP方法
springboot禁止不安全请求
weixin_45333124的博客
03-22 4364
一、项目场景: 在项目测试阶段,tomcat需要禁止一些不安全请求,比如PUT、TRACE、OPTIONS等,这里自定义springboot中的tomcat配置类,实现禁用。 二、 解决方法: 2.1、 外置的tomcat可以直接修改config.xml文件。 2.2、1.X版本的springboot @Configuration public class TomcatConfig { @Bean public EmbeddedServletContainerFactory servlet
Spring Boot 2.2.X Actuator 用不了 HttpTraceTomcat Thread 解决方案
dsen726的博客
05-11 1054
一、前言 spring boot 2.2.x release note 说明: 1.1 HttpTrace: 由于Spring Boot Actuator使用HttpTrace消耗资源并不支持集群,在Spring Boot 2.2 Release Notes开始已经默认禁用了,要启用HTTP跟踪,实现HttpTraceRepository或AuditEventRepository重新打开这些功能。 1.2 Tomcat Thread: Spring Boot 2.2 Release Notes开始已经
【CVE-2003-1567】springboot2,禁用TRACE和TRACK方法
xshnj的博客
07-06 1477
最近线上爆出CVE-2003-1567漏洞,经过一番查找,发现大多数介绍的都是springboot1如何禁用TRACE和TRACK方法,最后自己折腾出来了,分享一下吧`
springboot使用undertow服务器禁用TRACE请求
qq_16171201的博客
02-21 1155
springboot使用undertow服务器禁用TRACE请求
SpringBoot内嵌Web容器tomcat参数定制与优化、关闭web容器
Be_insighted的博客
08-23 1177
三种定制tomcat容器的方法 在org.springframework.boot.autoconfigure.web.ServerProperties类中有Server的相关配置 可以在ServerProperties.class中查看tomcat相关的参数项,并自定义其值。 1:实现EmbeddedServletContainerCustomizer接口,并把实现类纳入到spring容器中管理 2:在spring容器中装配一个EmbeddedServletContainerCustomizer对象
springboot 禁用post请求
07-27
Spring Boot禁用POST请求有多种方法。以下是一种常用的方法: 1. 在Spring Boot应用程序的配置文件(application.properties或application.yml)中配置: ``` spring.mvc.dispatch-options-request=true ``` 这将禁用POST请求,并将其替换为OPTIONS请求。 2. 在`@RestController`或`@Controller`注解的控制器类中,使用`@RequestMapping`注解对POST请求进行限制: ```java @RestController @RequestMapping(method = RequestMethod.GET) public class MyController { // 处理GET请求方法 @RequestMapping(value = "/myEndpoint", method = RequestMethod.POST) public ResponseEntity<Object> handlePostRequest() { return new ResponseEntity<>("POST请求禁用", HttpStatus.METHOD_NOT_ALLOWED); } } ``` 通过将`method = RequestMethod.GET`添加到`@RequestMapping`注解中,将此控制器类中的所有方法限制为只处理GET请求。而`@RequestMapping(value = "/myEndpoint", method = RequestMethod.POST)`将某个特定的endpoint限制为只处理POST请求,并在处理POST请求时返回“POST请求禁用”错误消息。 当应用程序接收到POST请求时,它将返回HTTP状态码405,表示方法不允许。客户端将收到一个错误响应,并知道POST请求已被禁用。 请注意,以上方法只是禁用了POST请求的入口点。如果需要在其他地方(如安全配置)中禁用POST请求,请根据具体情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值