修改SpringBoot内嵌Tomcat的初始化参数:readonly

最新推荐文章于 2024-04-22 12:16:11 发布
最新推荐文章于 2024-04-22 12:16:11 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: 技术分享
原文链接:https://segmentfault.com/q/1010000011323471/
版权

修改SpringBoot内嵌Tomcat的初始化参数:readonly

 

Apache Tomcat官方确认并修复了两个高危漏洞漏洞,给出的临时解决办法是:
禁用HTTP PUT方法:
在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数;

<init-param>
<param-name>readonly</param-name> 
<param-value>true</param-value>
</init-param>

但是在Springboot中,没有web.xml文件,因此并不知道去哪里设置这个属性。 
 

 

你可以通过bean配置的方式

@Bean
public EmbeddedServletContainerCustomizer containerCustomizer() {

return new EmbeddedServletContainerCustomizer() {
    @Override
    public void customize(ConfigurableEmbeddedServletContainer container) {
        if (container.getClass().isAssignableFrom(TomcatEmbeddedServletContainerFactory.class)) {
            TomcatEmbeddedServletContainerFactory tomcatContainer = (TomcatEmbeddedServletContainerFactory) container;
            tomcatContainer.addContextCustomizers(new ContextSecurityCustomizer());
        }
    }
};

}

private static class ContextSecurityCustomizer implements TomcatContextCustomizer {

@Override
public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection securityCollection = new SecurityCollection();
    securityCollection.setName("restricted_methods");
    securityCollection.addPattern("/*");
    securityCollection.addMethod(HttpMethod.PUT.toString());//这里设置你想禁用的http method
    constraint.addCollection(securityCollection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint);
}

}

 

转自:https://segmentfault.com/q/1010000011323471/

李小虾
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboottomcat 参数修改
qq_43093448的博客
03-24 1616
springboot修改tomcat配置,楼主是参考如下链接的: https://blog.csdn.net/keitho00/article/details/85003430 每个服务里都有bootstrap.yml文件,打开后,输入tomcat: 可以在下面添加修改参数参数修改后只针对这个服务生效,打代码时最好用空格键不要用tab。修改后保存即可。 ...
tomcat/log read-Only
icesongqiang
06-30 342
搞不清楚就重启, 哈哈哈// ps 后来看到这个 http://blog.csdn.net/jobschen/article/details/62040223. fsck -y /dev/xvdc1 执行这个修复命令, 再 reboot.
SpringBoot初始化Tomcat以及Tomcat运行原理
最新发布
meser88的博客
04-22 95
SpringBoot的创造简化了我们创建项目和运行项目的工作。我们不必再像SpringMVC时代那样,将项目先打包成jar包,然后放入Tomcat中再启动。我们可以忽略打包的操作和tomat的配置问题,编写完代码后直接启动项目即可。这一切都得益于SpringBoot的内置容器的实现。那么,SpringBoot具体是如何为我们完成了初始化Tomcat 的这一系列的操作的呢?下面我将以第一人称的学习源码视角带领大家来一起快乐分析SpringBoot的源码来学习下…
修改tomcat默认的编码方式
热门推荐
numbibi的专栏
09-17 12万+
默认情况下,tomcat使用的的编码方式:iso8859-1 修改tomcat下的conf/server.xml文件 找到如下代码:    这段代码规定了Tomcat监听HTTP请求的端口号等信息。 可以在这里添加一个属性:URIEncoding,将该属性值设置为UTF-8,即可让Tomcat(默认ISO-8859-1编码)以UTF-8的编码处理get请求。 修改完成后:
Apache Tomcat RCE if readonly set to false (CVE-2017-12617)
a19576的专栏
10-25 531
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12617 https://www.alphabot.com/security/blog/2017/java/Apache-Tomcat-RCE-CVE-2017-12617.htmlhttps://www.exploit-db.com/exploits/43008/ https://
使用Tomcat部署SpringBoot项目
asdfadafd的博客
08-28 703
网上很多,这里简单给大家推荐一篇。我们的重点主要放在如何使用Tomcat来部署我们的SpringBoot项目上。
C# 9.0新特性——只初始化设置器
01-19
自C#1.0版本以来,我们要定义一个不可变数据类型的基本做法就是:先声明字段为readonly,再声明只包含get访问器的属性。例子如下: 1、背景与动机 自C#1.0版本以来,我们要定义一个不可变数据类型的基本做法就是:先...
springboot-transaction-demo:对于Spring事务的简单测试
03-26
该注解包含多个属性,如propagation(传播行为)、isolation(隔离级别)、readOnly(只读事务)、timeout(超时时间)和rollbackFor(触发回滚的异常类型)。 - **AOP代理**:Spring通过AOP代理在方法执行前后自动...
C#基础:基于const与readonly的深入研究
12-31
readonly和const都是用来标识常量的[1]。•const可用于修饰class的field或者...而readonly常量则可以根据情况选择在声明的同时对其赋予一个编译时确定并恒定的值,或者将其值的初始化工作交给实例构造函数(instant c
C#中 const 和 readonly 的不同
01-01
因为 readonly 是在计算时执行的,当然它可以用某些变量初始化readonly 是实例成员,所以不同的实例可以有不同的常量值,这使readonly更灵活。 readonly 关键字与 const 关键字不同。 1. const 字段只能在该字段的...
Tomcat任意文件上传(CVE-2017-12615)
m0_73720136的博客
05-07 1087
掌握文件上传中的Tomcat任意文件上传(CVE-2017-12615)漏洞影响的Tomcat版本以及配置文件,利用Burp Suite工具抓取数据包,将数据包内容修改,请求方式修改为PUT方式,上传新建的jsp脚本文件,文件内容可以任意编写,也可以是木马。1. NTFS文件流2. 文件名相关限制可以采取一些方法来绕过限制,比如Windows中文件名不能以空格结尾,在文件名后面加空格"%20",也可以加斜杠"/"。
1-java安全——tomcat任意文件写入分析[CVE_2017-12615]
网络安全
07-03 970
tomcat8.0.45写入任意文件漏洞的编号为CVE_2017-12615,该漏洞的利用场景为当tomcat运行在windows下,允许PUT方式的http请求并且tomcat的web.xml配置文件中readonly值为false,攻击者就可以向服务器上传恶意jsp文件或webshell文件。
tomcat 静态资源处理类DefaultServlet&Apache静态资源服务
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
02-14 427
DefaultServlet是tomcat中用来处理静态资源和提供目录列表directory listings(如果服务开启的话)服务的Servlet。[color=red]它处理所有没有被其他Servlet处理的资源请求。[/color] 在tomcat下$CATALINA_BASE/conf/web.xml中定义: 默认情况下,[color=red]DefaultServlet是在we...
Tomcat任意文件写入-CVE-2017-12615
y@n1n的博客
03-31 237
一、简述 Java是当前Web开发中最流行的编程语言,而Tomcat是最流行的Java中间件服务器之一。由于Tomcat AJP协议中的缺陷,攻击者可以读取或包括Tomcat的webapp目录中的任何文件。例如,攻击者可以读取WebApp配置文件或源代码。此外,如果目标Web应用程序具有文件上传功能,则攻击者可能通过利用Ghostcat漏洞利用文件包含功能在目标主机上执行恶意代码。 影响版本:7.0.0~7.0.79 二、漏洞复现 1.环境设定。 docker-compose build d
tomcat中间件漏洞复现
mingyqf的博客
02-14 3854
Apache Tomcat文件包含漏洞CVE-2020-1938 一、漏洞描述 Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。 二、漏洞危害等级 高 三、影响版本 Apache Tomcat 6 Tomcat 7系列 <7.0.100 To
SpringMVC跨域上传图片出现的405错误及409错误解决方式
taibaishenlong的专栏
10-27 1390
第一步,创建两个web项目,创建项目如下所示: 其中fileupload_server用作图片服务器使用,day1021_springmvc用作上传图片的web项目使用。 第二步,分别将两个项目发布两个tomcat服务器上,注意,此刻我们所模拟的是在一台电脑上进行跨服务器上传图片操作的。 将fileupload_server部署到tomcat-9.0.36服务器上,注意修改端口。然后将day1021_springmvc部署到tomcat-8.5.43服务器上。 然后点击Apply–>OK,这样就部
Tomcat配置文件入门
jubincn的专栏
11-23 2万+
Tomcat 基本配置   tomcat读取配置文件 首先简单说一下tomcat是如何读取配置文件的。tomcat在启动时,首先找系统变量CATALINA_BASE,如果没有,则找CATALINA_HOME。然后找这个变量所指的目录下的conf文件夹,从中读取配置文件。 最重要的配置文件:server.xml 要配置tomcat,基本上了解server.xml,context.xml
Tomcat 远程代码执行漏洞分析(CVE-2017-12615)
fly小灰灰的专栏
11-06 6876
1. 漏洞描述 漏洞简述: 当tomcat启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。 CVE编号:CVE-2017-12615 影响版本:Apache Tomcat 7.0.0-
spring-boot配置readonly
hellozhxy的博客
05-28 2094
Apache Tomcat官方确认并修复了两个高危漏洞漏洞,给出的临时解决办法是: 禁用HTTP PUT方法: 在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数; <init-param> <param-name>readonly</param-name> <...
QIODevice::ReadOnly
04-06
QIODevice::ReadOnly is a constant used in Qt framework to indicate that the device is open for reading only. This means that you cannot write data to the device using this mode. It is commonly used when reading data from a file or a network socket. For example, you can open a file for reading using the following code: ``` QFile file("myFile.txt"); if (file.open(QIODevice::ReadOnly)) { // Read data from the file } ``` In this example, the file is opened in read-only mode using the QFile class. Once the file is opened, you can read data from it using the appropriate methods. It is important to note that opening a file in read-only mode does not allow you to modify the file. If you need to modify the file, you will need to open it in a different mode, such as QIODevice::WriteOnly.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值