security-constraint解决-启用不安全的http方法

最新推荐文章于 2024-06-02 18:28:10 发布
最新推荐文章于 2024-06-02 18:28:10 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang1011/article/details/109682514
版权

security-constraint解决-启用不安全的http方法

web.xml配置
拦截具体的接口,避免一些不合规的方式直接请求攻击

<security-constraint>
            <web-resource-collection>
                <web-resource-name>securityUrl</web-resource-name>
                <url-pattern>/home.do</url-pattern>
                <http-method>PUT</http-method>
                <http-method>DELETE</http-method>
                <http-method>HEAD</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
            </web-resource-collection>
            <auth-constraint></auth-constraint>
        </security-constraint>

以上设置,某个接口拦截PUT,DELETE,HEAD,OPTIONS,TRACE方法。

解释:
security-constraint元素

部署描述符中的元素允许不通过编程就可以限制对某个资源的访问。

web-resource-collection元素标识需要限制访问的资源子集

在web-resource-collection元素中,可以定义URL模式和HTTP方法。如果不存在HTTP方法,就将安全约束应用于所有的方法。
web-resource-name是与受保护资源相关联的名称。
http-method元素可被赋予一个HTTP方法,比如GET和POST。

参考

https://blog.csdn.net/u012045045/article/details/86612561

kangfu_521
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
javaWeb禁止http安全请求方式
weixin_30664539的博客
08-14 516
<security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 如果 <security-constraint> 中没有 <auth-constraint> 子元素的话,配置实际上是不起中用的。 <sec...
设置 Web 工程安全访问(security-constraint
最新发布
ruky36的专栏
06-02 435
<user-data-constraint> 元素指定传输保证级别为 CONFIDENTIAL,表示需要通过 HTTPS 进行加密传输。在 Web 工程中,可以通过配置 web.xml 文件来设置安全约束,以确保某些资源只能通过 HTTPS 访问。- <web-resource-collection> 元素定义了受保护的 Web 资源集,包括名称和 URL 模式。通过这样的配置,可以有效地增强 Web 应用的安全性,保护敏感数据免受窃取和篡改。
安全约束 security Constraint
southwind1的博客
08-04 1031
以spring boot为例,因为spring boot中内嵌tomcat。
web.xml中security-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
security-constraint和四种认证类型
Hedwig的博客
07-06 3713
1. &lt;security-constraint&gt;&lt;security-constraint&gt; 的子元素 &lt;http-method&gt; 是可选的,如果没有 &lt;http-method&gt; 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 &lt;auth-constraint&gt; 需要和 &lt;login-config&gt; 相配合使用,...
XX平台安全扫描问题解决方案.docx
09-23
启用安全HTTP方法也可能导致安全风险,如PUT、DELETE、HEAD、OPTIONS和TRACE等。这些方法在某些情况下可能被恶意利用。因此,应该在Web工程或服务器的`web.xml`中进行安全配置,禁止不必要的HTTP方法,例如: ```...
单点登录Spring-security+CAS.docx
07-04
安全约束(security constraint)设置是Web应用部署描述符(web.xml)中的一个重要部分,通过`<auth-method>`元素定义认证方法,如`<auth-method>CLIENT-CERT</auth-method>`,表示使用客户端证书进行认证。...
apache-tomcat-7.0.57_apache-tomcat-7.0.57_
10-03
这些配置可以在`conf/server.xml`的`<Realm>`和`<Security-constraint>`元素中进行。 8. **性能优化**:为了提升性能,可以调整Tomcat的线程池大小、内存分配、连接超时等参数。还可以通过启用连接器的NIO或APR...
weblogic启用Https1
08-08
HTTPS 协议是基于 HTTP安全版本,通过使用 SSL(Secure Socket Layer)或其更新版 TLS(Transport Layer Security)来加密通信,确保数据在传输过程中的安全性。本篇文章将详细介绍如何在 WebLogic Server 上启用...
Java Web 的 Security Constraint 配置
lyq123333321的专栏
12-30 4271
<br /><security-constraint> 的子元素 <http-method> 是可选的,如果没有 <http-method> 元素,这表示将禁止所有 HTTP 方法访问相应的资源。 <br /> 子元素 <auth-constraint> 需要和 <login-config> 相配合使用,但可以被单独使用。如果没有 <auth-constraint> 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 <security-constraint> 中没有 <au
Spring boot 内置tomcat禁止不安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
http相关的整理
空鵼
10-18 1369
HTTP概述 超文本传输协议(HTTP,HyperText Transfer Protocol) 是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法HTTP的发展是万维网协会(World Wide Web Consortium)和Internet工作小组(Internet Engineering Task
4.1.HTTP网络请求原理
深情小建
09-18 652
HTTP是一种应用层协议,它通过TCP实现了可靠的数据传输,能够保证数据的完整性、正确性,而TCP对于数据传输控制的优点也能够体现在HTTP上,使得HTTP的数据传输吞吐量、效率得到保证。对于移动开发来说,网络应用基本上都是C/S架构,也就是客户端/服务器架构。客户端通过向服务器发起特定的请求,服务器返回结果,客户端解析结果,再将结果展示在UI上。客户端与服务器的交互如下图: 详细的交互流程有
web.xml中的Security Constraint元素
lolichan的博客
09-27 1436
&lt;security-constriant&gt;元素是tomcat用来指示服务器对客户端访问服务端资源进行安全约束。如果不通过验证则报403错误 &lt;security-constraint&gt;     &lt;web-resource-collection&gt;       &lt;web-resource-name&gt;test&lt;/web-resource-...
学习记录 -- web.xml中security-constraint配置测试
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml中进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件中的视图解析器配置 -->
web.xml中security-constraint配置测试
孤城幻夜
10-24 3817
https://blog.csdn.net/tc2015/article/details/51774454
web.xml中<security-constraint>和四种认证类型
01-17 1385
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 中没有 子元素的话,配置实际上是不起中用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xml:  Xml代
tomcat配置Strict-Transport-Security
05-12
在 Tomcat 中启用 Strict-Transport-Security(STS)可以帮助保护您的应用程序免受 SSL/TLS 中的中间人攻击。STS 会告诉浏览器只能使用 HTTPS 访问您的站点,而不是 HTTP。这样,即使攻击者能够劫持您的 HTTP 流量,他们也无法劫持您的 HTTPS 流量。 要启用 STS,您需要在 Tomcat 的 web.xml 文件中添加以下片段: ``` <security-constraint> <web-resource-collection> <web-resource-name>Protected Context</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> <enforce>true</enforce> </user-data-constraint> </security-constraint> ``` 这将告诉 Tomcat 只允许通过 HTTPS 访问您的应用程序,并且在客户端第一次访问您的站点时,将在响应头中包含一个 STS 头: ``` Strict-Transport-Security: max-age=31536000 ; includeSubDomains ``` 这将告诉浏览器在一年内只能使用 HTTPS 访问您的站点,并且如果您有任何子域,也会对其强制执行 STS。 请注意,启用 STS 可能会导致某些浏览器无法访问您的站点。在实施之前,请确保您的应用程序已通过所有的安全测试,并确保您的用户不会出现问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值