security-constraint解决-启用不安全的http方法
web.xml配置
拦截具体的接口,避免一些不合规的方式直接请求攻击
<security-constraint>
<web-resource-collection>
<web-resource-name>securityUrl</web-resource-name>
<url-pattern>/home.do</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
以上设置,某个接口拦截PUT,DELETE,HEAD,OPTIONS,TRACE方法。
解释:
security-constraint元素
部署描述符中的元素允许不通过编程就可以限制对某个资源的访问。
web-resource-collection元素标识需要限制访问的资源子集
在web-resource-collection元素中,可以定义URL模式和HTTP方法。如果不存在HTTP方法,就将安全约束应用于所有的方法。
web-resource-name是与受保护资源相关联的名称。
http-method元素可被赋予一个HTTP方法,比如GET和POST。
参考
https://blog.csdn.net/u012045045/article/details/86612561