springboot禁用内置Tomcat的不安全请求方法

最新推荐文章于 2024-06-12 22:28:17 发布
原创 最新推荐文章于 2024-06-12 22:28:17 发布 · 4.1k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring技巧

本文介绍如何在SpringBoot应用中禁用不安全的HTTP请求方法,如PUT、DELETE等,以增强安全性。通过配置Tomcat的SecurityConstraint,可以阻止这些方法的使用,适用于不同版本的SpringBoot。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

起因:安全组针对接口测试提出的要求,需要关闭不安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。
用过springMvc都知道可以使用@PostMapping@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,通过查阅相关资料,答案是肯定的。

tomcat传统形式通过配置web.xml达到禁止不安全的http方法
    <security-constraint>  
       <web-resource-collection>  
          <url-pattern>/*</url-pattern>  
          <http-method>PUT</http-method>  
    	  <http-method>DELETE</http-method>  
    	  <http-method>HEAD</http-method>  
    	  <http-method>OPTIONS</http-method>  
    	  <http-method>TRACE</http-method>  
       </web-resource-collection>  
       <auth-constraint>  
       </auth-constraint>  
    </security-constraint>  
    <login-config>  
      <auth-method>BASIC</auth-method>  
    </login-config>
Spring boot使用内置tomcat,2.0版本以前使用如下形式
@Bean  
public EmbeddedServletContainerFactory servletContainer() {  
    TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1  
        protected void postProcessContext(Context context) {  
            SecurityConstraint securityConstraint = new SecurityConstraint();  
            securityConstraint.setUserConstraint("CONFIDENTIAL");  
            SecurityCollection collection = new SecurityCollection();  
            collection.addPattern("/*");  
            collection.addMethod("HEAD");  
            collection.addMethod("PUT");  
            collection.addMethod("DELETE");  
            collection.addMethod("OPTIONS");  
            collection.addMethod("TRACE");  
            collection.addMethod("COPY");  
            collection.addMethod("SEARCH");  
            collection.addMethod("PROPFIND");  
            securityConstraint.addCollection(collection);  
            context.addConstraint(securityConstraint);  
        }  
    };

2.0版本使用以下形式

@Bean
public ConfigurableServletWebServerFactory configurableServletWebServerFactory() {
    TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
    factory.addContextCustomizers(context -> {
        SecurityConstraint securityConstraint = new SecurityConstraint();
        securityConstraint.setUserConstraint("CONFIDENTIAL");
        SecurityCollection collection = new SecurityCollection();
        collection.addPattern("/*");
        collection.addMethod("HEAD");
        collection.addMethod("PUT");
        collection.addMethod("DELETE");
        collection.addMethod("OPTIONS");
        collection.addMethod("TRACE");
        collection.addMethod("COPY");
        collection.addMethod("SEARCH");
        collection.addMethod("PROPFIND");
        securityConstraint.addCollection(collection);
        context.addConstraint(securityConstraint);
    });
    return factory;
}

关于内嵌tomcat的更多配置,感兴趣可以阅读以下官方文档。
参考链接:https://docs.spring.io/spring-boot/docs/2.0.0.RC1/reference/htmlsingle/#howto-configure-tomcat

漏洞修复:tomcat 升级版本 spring-boot-starter-tomcat 的依赖项
隔壁老瓦的专栏
05-15 824
Spring Boot项目中修复Tomcat漏洞(如CVE-2024-21733)时,通常需要升级内嵌Tomcat版本。
SpringBoot调用流程源码(十九)tomcat的启动(九)请求进来的流程
lz710117239的博客
11-06 1811
当一个请求访问springboot的接口的时候,会被Nio的selector轮询到 一、入口 轮询的方法是在NioEndPoint端点的内部类SocketProcessor类中的doRun()方法,然后进入如下方法中 state = getHandler().process(socketWrapper, event); 然后进入Http11Processor类的process方法中,因为请求进来...
安全扫描问题】在Web服务器上禁用OPTIONS方法
IOS_Mainstay的博客
08-07 1万+
1、修改web.xml 中的引入 &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" xsi:schemaLocation="http://j...
spring boot使用内嵌的tomcat解决安全的HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全的HTTP方法,如果对这个安全漏洞有明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于是http安全方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全方法进行拦截。下面,我们重点说下第二种方案,因为
学习-Springboot禁止内置Tomcat安全的HTTP方法
liutinghui989的博客
04-17 8950
SpringBoot禁止内置Tomcat安全的HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
Springboot如何禁止安全的Http方法tomcat可用)
qq_43248658的博客
05-24 8083
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbed...
SpringBoot】深入分析SpringBoot如何内嵌Tomcat容器
陌北有棵树的博客
08-07 5935
【一】总述 SpringBoot的诞生,极大的简化了Spring框架的使用过程,提升了开发效率,可以把它理解为一个整合包,使用了SpringBoot,就可以用自己去进行繁琐的配置,通过几个简单的注解,就可以构建一个基于REST的服务。同时,SpringBoot的快速构建部署的特性,为当下大热的微服务落地提供了极大的便利,可以说是构建微服务的理想框架。 归纳来说SpringBoot的特性有如下几点...
禁用Springboot以jar方式使用内嵌tomcat安全http方法
chemyoo的博客
02-01 601
禁用Springboot以jar方式使用内嵌tomcat安全http方法
SpringBoot内嵌Tomcat开启APR模式,提升并发
草原孤狼的专栏
12-27 2540
SpringBoot内嵌Tomcat开启APR模式,提升并发
知识点18--如何将spring boot项目布置在外部tomcat
别人笑我太疯癫,我笑他人看不穿。
10-01 5629
我们前面的知识点使用spring boot开发了一个用户管理的demo,但是启动的时候我们都使用的是spring-boot-web依赖导入的内置tomcat,这在正式的开发中一般是提倡的,除非开发的系统在使用上要求高,而且很多时候网络策略只给了少量的端口,因此你办到模块都用同的内置web软件并占用同的端口,所以单凭内置tomcat是无法保证系统正常的运行的,这时通常的开发手动就是部署到外置的tomcat上。现在我们一起看一下如何部署。
springboot-keepalive设置测试
03-26
server.tomcat.accept-count=200 # 请求队列最大长度 server.tomcat.connection-timeout=30000 # 连接超时时间,单位毫秒 server.tomcat.keep-alive-timeout=60000 # keep-alive超时时间,单位毫秒 ``` 在进行...
JavaWeb6 Tomcat+postman请求,响应+常用注解整理
weixin_44040169的博客
06-12 968
Controller层请求和相应,包括一些注解@ResponseBody等
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 1597
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
一文搞懂SpringBoot内嵌的Tomcat:
qq_44530691的博客
02-26 2523
一文帮助你搞懂SpringBoot内嵌的Tomcat。冲击吧,少年。
Springboot解决安全请求
01-05 1060
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
因为热爱,所以付出
05-14 8144
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用tomcat禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
Tomcat内部处理请求详解
qq_22162093的博客
05-14 598
上一篇写了tomcat处理请求时和spring boot配合的过程,这次我们单独把tomcat处理请求的详细过程 一个Tomcat 中只有一个Server, 一个Server 可以包含多个Service 一个Service 只有一个Container, 但可以有多个Connectors (因为一个服务可以有多个连接,如同时提供http 和https 连接,也可以提供相同协议同端口的连接)。 Tomcat 里的Server 由org.apache.catalina.startup.Catalina 来管理
如何禁用 HTTP TRACE/TRACK
热门推荐
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
idea 中使用 springboot + tomcat + vue
最新发布
03-19
### 集成 SpringBootTomcat 和 Vue 的开发环境配置 #### 1. 开发环境概述 IntelliJ IDEA 是一种强大的 Java 开发工具,可以很好地支持 Spring Boot 应用程序的开发。通过适当配置,可以在 IntelliJ IDEA 中实现 Spring Boot、Tomcat 和 Vue.js 的集成开发。 --- #### 2. 配置 Spring Boot 项目 创建一个新的 Spring Boot 项目并导入到 IntelliJ IDEA 中: - 使用 Spring Initializr 初始化一个新项目,选择所需的依赖项(如 `Spring Web` 和 `Thymeleaf` 或其他前端模板引擎)。 - 导入 Maven/Gradle 构建文件以确保所有依赖项都已加载成功[^1]。 ```xml <dependencies> <!-- Spring Boot Starter Web --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- MySQL Connector --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> </dependency> </dependencies> ``` --- #### 3. 配置嵌入式 Tomcat Spring Boot 默认集成了嵌入式的 Tomcat 容器,因此无需额外安装 Tomcat。可以通过修改 `application.properties` 文件来调整 Tomcat 的端口和其他设置: ```properties server.port=8080 server.servlet.context-path=/api ``` 如果需要使用外部 Tomcat,则需禁用内置容器并将 WAR 包部署到外部 Tomcat 上[^2]。 --- #### 4. 前端 Vue.js 集成 为了将 Vue.js 集成到 Spring Boot 项目中,通常有以下两种方法: ##### 方法一:静态资源方式 将 Vue.js 打包后的静态文件放置在 Spring Boot 的 `/src/main/resources/static` 目录下。这样可以直接访问这些静态文件。 ###### 步骤: 1. 创建 Vue.js 项目并通过 npm/yarn 构建打包。 2. 将构建生成的 `dist` 文件夹复制到 Spring Boot 的 `static` 路径下。 3. 启动 Spring Boot 应用即可访问前端页面。 ##### 方法二:前后端分离架构 在这种模式下,Vue.js 提供独立的服务接口调用功能,而 Spring Boot 则作为后端 API 接口服务运行。 ###### 步骤: 1. 在 Vue.js 项目中配置 Axios 或 Fetch 来请求 Spring Boot 提供的 RESTful API。 2. 确保 CORS 设置允许跨域请求,在 Spring Boot 中添加如下配置类: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override public void addCorsMappings(CorsRegistry registry) { registry.addMapping("/**").allowedOrigins("*"); } }; } } ``` --- #### 5. 数据库连接配置 由于系统采用了 MySQL 数据库,需要在 `application.properties` 文件中进行相应的数据库连接配置[^4]: ```properties spring.datasource.url=jdbc:mysql://localhost:3306/school_management?useSSL=false&serverTimezone=UTC spring.datasource.username=root spring.datasource.password=password spring.jpa.hibernate.ddl-auto=update ``` --- #### 6. 测试与调试 完成上述配置后,启动 Spring Boot 应用程序,并验证其是否正常工作。对于 Vue.js 部分,可通过浏览器打开对应的 URL 地址进行测试。 --- ### 总结 以上是在 IntelliJ IDEA 中集成 Spring Boot、Tomcat 和 Vue.js 的基本流程。这种方法仅提高了项目的可维护性和扩展性,还简化了开发过程中的复杂度[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值