安全扫描工具扫出HTTP的不安全方法
如图
实验一:
只在项目配置web.xml加允许方法限制,结果使用火狐poster测试页面问题解决,通过安全工具扫描,仍未解决。
实验二:
修改tomcat
配置web.xml
加入如下内容
<security-constraint>
<web-resource-collection>
<web-resource-name>fortune</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
重启tomcat,再次使用安全工具检测,问题解决。
结论:安全工具扫描是检测tomcat安全设置,只设置单个项目不能测试通过。