学习-Springboot禁止内置Tomcat不安全的HTTP方法

最新推荐文章于 2024-08-15 10:11:31 发布
最新推荐文章于 2024-08-15 10:11:31 发布
阅读量8.4k 收藏 16
点赞数 3
分类专栏: SpringBoot 文章标签: SpringBoot 不安全的HTTP方法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liutinghui989/article/details/88845707
版权

学习问题记录

用SpringBoot开发的项目在进行测试时,除GET、POST之外的HTTP请求方式都需要禁止,由于使用的内置Tomcat,试了几种方式,最后记录一下。

解决方式:

对独立启动的tomcat,修改配置文件即可,在网上可以找到很多。而对Springboot内置的tomcat,要添加配置类或者配置properties文件:
第一种方式(最终使用的):
. 添加配置类:
使用环境:JDK1.8
不需要添加maven依赖,tomcat内置在springboot包里。

@Configuration
public class TomcatConfig {
	@Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addPattern("/ywyydsj/*");
	            collection.addMethod("HEAD");
	            collection.addMethod("PUT");
	            collection.addMethod("PATCH");
	            collection.addMethod("DELETE");
	            collection.addMethod("OPTIONS");
	            collection.addMethod("TRACE");
	            collection.addMethod("COPY");
	            collection.addMethod("SEARCH");
	            collection.addMethod("PROPFIND");
	            constraint.addCollection(collection);
	            constraint.setAuthConstraint(true);
	            context.addConstraint(constraint);
	            context.setUseHttpOnly(true);
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcatServletContainerFactory;
    }
 
}

第二种方式(仅供参考,试了下没起作用):
在配置文件application.porperties中添加如下配置:

#禁止不安全的HTTP方法
server.tomcat.port-header=HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND

出现过一次OPTIONS在设置后,仍然可以使用情况,添加配置如下:

spring.mvc.dispatch-options-request=true

配置完成后可以使用POSTMAN进行测试,查看禁用的方法是否禁用成功。

轻声追忆
关注
专栏目录
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
chemyoo的博客
02-01 412
禁用Springboot以jar方式使用内嵌tomcat的不安全http方法
Web 应用程序报告: 启用了不安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5035
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
SpringBoot漏洞!Apache Tomcat有信息泄露风险(附解决方案)
最新发布
Carlos_ForYou的博客
08-15 1424
解决Apache Tomcat信息泄露漏洞
springboot禁止内置Tomcat安全HTTP方法
wxCSDN1997的博客
12-02 1337
参考: 学习-Springboot禁止内置Tomcat安全HTTP方法_liutinghui989的博客-CSDN博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
SpringBoot2.0中禁用内置Tomcat的不安全请求方法
Levent的博客
10-24 5881
禁用内置Tomcat的不安全请求方法 SpringBoot2.0之前版本 在SpringBoot2.0之前的版本中可以向容器注册[EmbeddedServletContainerFactory ]类实现对内置Servlet容器的配置 @Bean public EmbeddedServletContainerFactory servletContainer() { T...
springboot禁用内置Tomcat的不安全请求方法
菜狗小仪的博客
11-15 2043
原由:安全组针对接口测试提出的要求,须要关闭安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。 用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html tomcat传统形式经过配置web.xml达到禁止安全http方法 <security-constraint>
Springboot如何禁止安全Http方法tomcat可用)
qq_43248658的博客
05-24 7983
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbed...
大公司为什么禁止SpringBoot项目使用Tomcat?为什么说吊打Tomcat
KRYST4L123的博客
02-25 263
Undertow是RedHAT红帽公司开源的产品,采用java开发,是一款灵活,高性能的web服务器,提供了NIO的阻塞/非阻塞API,也是Wildfly的默认Web容器。在javaweb容器的世界里,tomcat和jetty是大众熟知的,undertow目前逐步进入大众的视角,它是一款能和tomcat媲美的神器,在性能方面吊打tomcat。本文将为大家细细讲解。在SpringBoot框架中,我们使用最多的是Tomcat,这是SpringBoot默认的容器技术,而且是内嵌式的Tomcat
为什么大公司都禁止SpringBoot项目中使用Tomcat
m0_48922996的博客
07-15 358
SpringBoot框架中,我们使用最多的是Tomcat,这是SpringBoot默认的容器技术,而且是内嵌式的Tomcat。同时,SpringBoot也支持Undertow容器,我们可以很方便的用Undertow替换Tomcat,而Undertow的性能和内存使用方面都优于Tomcat,那我们如何使用Undertow技术呢?本文将为大家细细讲解。SpingBoot中我们既可以使用Tomcat作为Http服务,也可以用Undertow来代替。Undertow在高并发业务场景中,性能优于Tomcat。...
Springboot项目部署到外部Tomcat
yu102655的专栏
04-26 5822
前言:用过Springboot的同学都知道,Springboot采用了约定大于配置的思想,提供了大量简化配置的操作,使得我们从繁重的SpringMVC项目配置中解脱出来,只需要在.properties或者.yml文件上给指定的参数配置适当参数值即可,然后Springboot会自动应用;个人认为Springboot的优势在于提供快速便捷的开发模式,比如快速开发服务接口,通过mvn打包成jar包,然后...
springboot研究学习
kkagr的博客
08-20 708
springboot自我研究 github地址https://github.com/kkagr/spring.git,里面有好几个项目,选择springboot 1.什么是springboot   springboot是一个快速整个第三方框架,简化XML配置完全采用注解化、内置Http服务器(Jetty和Tomcat),最终是以java应用程序进行执行   重点:快速整合第三方框架,内置h...
为什么要禁止除GET和POST之外的HTTP方法
emprere的博客
06-08 935
相关阅读:你的经历分配决定你人生的层次京东应用架构设计与治理互联网技术(java框架、分布式、集群)干货视频大全,不看后悔!(免费下载)最近老是听朋友说,被上级单位通报H...
spring boot使用内嵌的tomcat解决不安全HTTP方法安全漏洞
caodongfang126的博客
06-21 2143
一:传统Web项目的解决方案: 在tomcat的web.xml配置文件中,对不安全方法进行拦截: <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
Springboot解决不安全的请求
01-05 754
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
springboot解决不安全HTTP请求方式安全漏洞
Think_and_work的博客
07-05 2631
springboot解决不安全HTTP请求方式安全漏洞
Tomcat 禁用不安全HTTP 请求
灬勿忘丶心安
06-06 2273
Tomcat 禁用不安全HTTP 请求 一、配置 tomcat 的 web.xml 文件   WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读...
Vue-SpringBoot-Nginx-Tomcat-Web环境搭建指南
"本资源是关于使用Vue+Nginx+Element-UI+Tomcat+SpringBoot搭建Web环境的学习文档,适合前端和后端开发者,尤其是初学者。文档中涵盖了从基础软件安装到核心技术学习的全过程,包括HTML/CSS/JavaScript、Vue.js、...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值