如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

最新推荐文章于 2024-06-13 18:19:47 发布
最新推荐文章于 2024-06-13 18:19:47 发布
阅读量3.7k 收藏 1
点赞数
分类专栏: 网站管理

WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

2017-03-06 13:39  1135人阅读  评论(0)  收藏  举报
  分类:

[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

使用了360网站安全检测 查到有OPTIONS方法

百度了下 https://my.oschina.net/maliang0130/blog/338725

找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2

最后通过开源中国找到

第一步:修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>  
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4">

第二步:在应用程序的web.xml中添加如下的代码即可

复制代码 
<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
<http-method>DELETE</http-method>  
<http-method>HEAD</http-method>  
<http-method>OPTIONS</http-method>  
<http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>
复制代码

 重新部署程序,重启tomcat即可完成

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。

< security-constraint >  
    < web-resource-collection >  
       < url-pattern >/*</ url-pattern >  
       < http-method >PUT</ http-method >  
< http-method >DELETE</ http-method >  
< http-method >HEAD</ http-method >  
< http-method >OPTIONS</ http-method >  
< http-method >TRACE</ http-method >  
    </ web-resource-collection >  
    < auth-constraint >  
    </ auth-constraint >  
  </ security-constraint >  
  < login-config >  
    < auth-method >BASIC</ auth-method >  
  </ login-config >
lionzl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
VC++ HTTP POST/GET/PUT/DELETE实现Rest API操作
07-19
在本文中,我们将深入探讨如何使用VC++实现HTTP的基本操作,包括POST、GET、PUTDELETE,以及如何处理代理设置、读取HTTP头信息和解析HTML文档中的特定标签属性值。这些功能对于开发RESTful API客户端或者进行网络...
tomcat禁止PUT方法
03-29
然而,在某些情况下,我们可能需要禁止 Tomcat 上的某些 HTTP 方法,例如 PUTDELETE、HEAD、OPTIONS 和 TRACE 方法,以确保应用程序安全性。 在本文中,我们将讨论如何禁止 Tomcat 上的 PUT方法,以防止未经...
如何禁止DELETEPUTOPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2100
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETEPUTOPTIONS协议访问应用程序/tomcat用不安全http方法...
weixin_34357887的博客
10-19 804
使用了360网站安全检测 查到有OPTIONS方法 百度了下 https://my.oschina.net/maliang0130/blog/338725 找到这个方法奈何http.conf 找不到无论在tomcat目录里还是linux路径下的/usr/etc或者apache2 最后通过开源中国找到 第一步:修改应用程序的web.xml文件的协议 &lt;?xml version="1.0" e...
渗透测试漏洞大全
最新发布
2301_76786857的博客
06-13 1194
由于开发人员编写源码,开放着将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。应用需要对输入进行检查,不允许用户直接提交未经过验证的数据到服务器,因为这些数据来不可编辑的控件,或者用户没有前端提交的权限,任何可编辑控件必须有阻止恶意的写入或修改的功能。网站登录失败、账号注册、密码找回等功能,有些网站会提示类似“用户名不存在”的错误,攻击者可以通过该提示先猜测出系统存在哪些账号,然后再进一步猜测密码,降低了暴力破解的成本。
用app里面的java_【Azure 应用服务】App Service中,为Java应用配置自定义错误页面,DELETE, PUT方法...
weixin_36371906的博客
02-25 222
问题定义使用Azure应用服务(App Service),部署Java应用,使用Tomcat容器,如何自定义错误页面呢?同时DELETE, PUT方法解决办法如何自定义错误页面呢?需要在 Java 的 web.xml 进行配置 error-page,具体内容如下:Welcome to Tomcatindex.jspWelcome to Tomcat404/404.html403/403.htm...
如何禁止不必要的 HTTP 方法,如DELETEPUTOPTIONS协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
tomcat wedav 禁止DELETEPUTOPTIONS、TRACE、HEAD等协议访问应用程序应用程序
建伟博客
09-18 1383
http://jiessiedyh.iteye.com/blog/418316 http://blog.csdn.net/mqboss/article/details/7466736 http://blog.csdn.net/huang_xw/article/details/6194232 http://lgstarzkhl.iteye.com/blog/534125 http://www...
TomcatOPTIONS 和 TRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式
chuai5828的博客
07-24 1131
其实OPTIONSTRACE 等动词就是用webdev协议 打开tomcat–>conf–>web.xml 文件: 将以下代码注释或删除: <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" x...
web安全tomcat用WebDAV或者禁止不需要的 HTTP 方法
09-30
需要注意的是,用WebDAV或特定HTTP方法只是提升安全性的其中一个措施,还有其他安全策略可以实施,比如限制IP访问、使用HTTPS加密通信、设置防火墙规则等。在实际环境中,应结合多种方法以确保服务器安全。同时,...
Http协议DeletePut方法用法
04-27
一般来说,Web服务器默认的只支持Post和Get...但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method): •OPTIONS •HEAD •DELETEPUT •TRACE •CONNECT
http.rar_HTTP ppt_HTTP协议_http://brow
09-21
HTTP(超文本传输协议,Hypertext Transfer Protocol)是互联网上应用最为广泛的一种网络协议,它定义了客户端(通常是浏览器)与服务器之间的通信格式。在我们的主题“http.rar_HTTP ppt_HTTP协议_http://brow”中...
tomcatoptions等请求协议
wtjhaoxia的博客
07-10 1386
最近我们平台的项目被送去扫描漏洞,在测试结果中,其中有一项漏洞是: 启用了OPTIONS方法:攻击者可以发送OPTIONS方法,从系统的响应中获得系统已启用的HTTP方法列表 解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打开tomcat–>con...
如何用不安全的请求方式
jam__zheng的博客
10-12 2416
HTTP请求1.0支持:post  get  head HTTP请求1.1的时候支持了:put delete  options trace connect 可以自行禁止使用哪些请求,只需要在web.xml中添加配置信息: &lt;security-constraint&gt;      不通过编程就可以限制对某个资源的访问         &lt;web-resource-collectio...
无法删除web服务器信息,Go Web 服务器无法正确处理 /delete/ 模式
weixin_32569115的博客
08-05 343
我刚刚玩了一个 google GO 官方示例编写 Web 应用程序,我尝试添加删除页面的功能,但没有奏效。原因是,如果你"/delete/"作为参数传递给http.HandleFunc()函数,你总是会得到 404 Page not found。任何其他"foobar"字符串都按预期工作。简化代码:package mainimport ("fmt""net/http")func handler(w...
tomcatPUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们DELETEPUT、TRACE、MOVE、COPY、OPTIONSHTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
处理请求方式过滤器(putdelete
qq_52263468的博客
08-09 277
在web.xml中配置完过滤器后,还需要在配置一个隐藏域来声明这是一个put请求,这个隐藏域的name必须叫_method ,他的value是你需要的请求方式的名称。
linux中使用get或者put,进行文件上传或者下载时,Permission denied(拒绝访问)
代码君的博客
07-05 1万+
今天从linux中备份数据库,生成的一个dmp文件,刚想把这个文件拿下来放到我本地路径上,在sftp中使用get命令是,总是提示我Permission denied(拒绝访问)然后我想了想,会不会是这个文件权限的问题。然后我把这个文件的权限改了一下 chmod 777文件名然后重新get一下,结果还是提示  Permission denied(拒绝访问)然后又想了想,会不会是这个文件所在的目录下面...
服务器不能DELETEPUT
wgxu123的博客
03-28 967
问题描述:前端VUE、后端JAVA,代码放在本地可以完美运行,放在服务器外网不能运行deleteput,get和post不能运行。
http协议doc文档
02-26
HTTP协议的请求方法包括GET、POST、PUTDELETE等,每种方法对应着不同的操作,可以实现对HTTP服务器的数据读取、写入、更新和删除。状态码则表示了服务器对请求的处理结果,包括成功、重定向、客户端错误和服务端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值