spring boot使用内嵌的tomcat解决不安全的HTTP方法安全漏洞

最新推荐文章于 2024-04-17 10:13:45 发布
最新推荐文章于 2024-04-17 10:13:45 发布
阅读量1.1w 收藏 10
点赞数 1
分类专栏: spring boot spring cloud微服务 文章标签: spring boot 安全漏洞 tomcat 不安全的HTTP方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchuanhong1/article/details/76667343
版权

最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--不安全的HTTP方法,如果对这个安全漏洞有不明白的地方,可以自行问度娘。

1、传统Web项目的解决方案

在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对不安全的方法进行拦截。下面,我们重点说下第二种方案,因为这种方案对所有可能存在此安全漏洞的系统都启作用,不用在每个系统中都进行处理。在tomcat的web.xml配置文件中,加如如下的配置文件:

<security-constraint>
            <web-resource-collection>
                <url-pattern>/*</url-pattern>
                <http-method>HEAD</http-method>
                <http-method>PUT</http-method>
                <http-method>DELETE</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
                <http-method>COPY</http-method>
                <http-method>SEARCH</http-method>
                &l
最低0.47元/天 解锁文章
牛奋lch
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Boot启动过程(四)之Spring BootTomcat启动
08-30
Spring Boot启动过程(四)之Spring BootTomcat启动的相关知识点主要包括createEmbeddedServletContainer方法、getEmbeddedServletContainerFactory方法TomcatEmbeddedServletContainerFactory、...
Springboot解决安全的请求
01-05 670
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
Tomcat 禁用不安全HTTP 请求
灬勿忘丶心安
06-06 2225
Tomcat 禁用不安全HTTP 请求 一、配置 tomcat 的 web.xml 文件   WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读...
解决去除springboot-内tomcat的异常信息显示】去掉版本号和异常信息
最新发布
全属性程序员
04-17 515
重新编译,将生成的ErrorReportVave.class替换掉原始的tomcat-embed-core的jar包。springboot内了tomat,比如这个版本:tomcat-embed-core-8.5.96。将showServerInfo=true ,修改为showServerInfo=false。将showReport=true,修改为showReport=false。找到这个tomcat-embed-core的源码,调用这个,能复现tomcat的报错。
SpringBoot2 定制和修改入式Servlet容器(Tomcat)的相关配置
chuxiong5717的博客
06-13 929
SpringBoot默认使用Tomcat作为入式的Servlet容器; 1.使用配置文件定制修改相关配置 在application.properties / application.yml配置所需要的属性 属性 描述 server.tomcat.accept-count = 0...
springboot解决安全HTTP请求方式安全漏洞
Think_and_work的博客
07-05 2488
springboot解决安全HTTP请求方式安全漏洞
Tomcat常用配置参数
rubbertree的专栏
02-15 1288
官方提供的常用配置参数 # EMBEDDED SERVER CONFIGURATION (ServerProperties) server.address= # Network address to which the server should bind to. server.compression.enabled=false # If response compression is en...
秒懂:tomcat的maxConnections、maxThreads、acceptCount 图解
架构师尼恩
10-27 5702
后面附图 | 秒懂 疯狂创客圈 Java 高并发【 亿级流量聊天室实战】实战系列 【博客园总入口 】 前言 疯狂创客圈(笔者尼恩创建的高并发研习社群)Springcloud 高并发系列文章,将为大家介绍三个版本的 高并发秒杀: 一、版本1 :springcloud + zookeeper 秒杀 二、版本2 :springcloud + redis 分布式锁秒杀 三、版本3 :springclo...
Spring Boot启动过程(五)之Springboot内Tomcat对象的start教程详解
08-30
Spring Boot启动过程(五)之Springboot内Tomcat对象的start教程详解是Spring Boot启动过程的重要组件之一,我们需要详细了解TomcatEmbeddedServletContainer的start方法、LifecycleBase的init方法、MBean的强大...
Spring Boot如何优化内Tomcat示例详解
08-29
Spring Boot允许开发者通过配置属性文件(如`application.properties`)来定制内Tomcat的一些基本设置,例如更改端口和最大线程数: ```properties server.port=8081 server.tomcat.max-threads=1000 ``` 然而,...
59-Spring BootTomcat配置1
08-08
这里尤其要注意设置协议这一块,众所周知,Tomcat默认用的是BIO,在生产环境中,最差也得用NIO吧,最好是APR,那么对应的协议类如下:在实际应用的时候,可
spring boot项目发布tomcat容器(包含发布到tomcat6的方法
08-28
这是因为 Spring Boot 项目默认使用Tomcat 服务器,所以需要将其排除,以避免与外部 Tomcat 的冲突。 其次,需要在 Spring Boot 的 web 项目中排除 Tomcat 依赖,以避免冲突。可以在 pom.xml 文件中添加以下...
SpringBoot的常见配置
douyunqian668的博客
07-18 241
server.port=8080 #server.address= # bind to a specific NIC #server.session-timeout= # session timeout in seconds #the context path, defaults to '/' #server.context-path=/spring-boot #server.servlet-pa...
SpringBoot - SpringBoot配置说明
MinggeQingchun的博客
08-30 2367
相对于server.servlet.context-path或management.server.servlet.context-path,如果配置了management.server.port。spring.jta.narayana.expiry-scanners = com.arjuna.ats.internal.arjuna.recovery.ExpiredTransactionStatusManagerScanner #逗号分隔的到期扫描程序列表。否则,默认为“none”。......
SpringBoot配置属性之Server
weixin_34148340的博客
01-14 710
SpringBoot配置属性系列 SpringBoot配置属性之MVC SpringBoot配置属性之Server SpringBoot配置属性之DataSource SpringBoot配置属性之NOSQL SpringBoot配置属性之MQ SpringBoot配置属性之Security SpringBoot配置属性之Migrati...
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9069
文章目录不安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式不安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 不安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些不必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
tomcat 禁用不安全http请求方式
热门推荐
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
Spring boot组件配置属性
zhengyingjun的博客
05-06 1103
请谨慎使用,可能版本会有差别! flyway.baseline-description 执行基线时标记已有Schema的描述。 flyway.baseline-on-migrate 在没有元数据表的情况下,针对非空Schema执行迁移时是否自动调用基线。(默认值: false。) 6 flyway.baseline-version 执行基线时用来标记已有Schema的版本。(默认值:1。) fly...
网络安全XSS跨站脚本攻击漏洞和不安全HTTP方法的修补
Funky_oaNiu的博客
12-23 1816
一、项目背景 一个Springboot+MyBatis+Redis+MySQL的辣鸡小项目。奈何再小的项目也需要保证安全,今天提交给测试部门做渗透测试,打回来两个网络安全漏洞,网上有很多“模糊”的修改办法,我们来看看具体怎么修补吧。 二、漏洞描述 1.不安全HTTP方法安全HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员
Spring Boot 启动内tomcat的过程
05-25
Spring Boot 启动内 Tomcat 的过程可以分为以下几个步骤: 1. 配置 Spring Boot 应用程序的 pom.xml 文件,添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> ``` 2. 创建一个 Spring Boot 应用程序类,并在其 main 方法中调用 SpringApplication.run 方法,如下所示: ``` @SpringBootApplication public class MyApp { public static void main(String[] args) { SpringApplication.run(MyApp.class, args); } } ``` 3. 在应用程序配置文件 application.properties 或 application.yml 中配置 Tomcat 服务器相关的属性,例如端口号、上下文路径等,如下所示: ``` # application.properties server.port=8080 server.servlet.context-path=/myapp ``` ``` # application.yml server: port: 8080 servlet: context-path: /myapp ``` 4. 使用 Spring Boot 提供的入式 Tomcat 作为 Web 服务器。Spring Boot 会根据应用程序的配置自动配置 Tomcat 服务器,创建 TomcatEmbeddedServletContainerFactory 对象,并将其注入到 Spring 容器中。 5. 在应用程序启动过程中,Spring Boot 会扫描应用程序中所有的 @Controller、@RestController、@RequestMapping 等注解,并将其注册到 Tomcat 服务器中。 6. 当应用程序收到请求时,Tomcat 服务器会将请求转发给对应的 Controller 方法,Controller 方法会处理请求并返回响应,Tomcat 服务器将响应发送给客户端。 以上就是 Spring Boot 启动内 Tomcat 的过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值