配置Tomcat下的web应用服务的安全权限

最新推荐文章于 2023-06-30 20:20:15 发布
最新推荐文章于 2023-06-30 20:20:15 发布
阅读量8.6k 收藏
点赞数
文章标签: tomcat web permissions authentication methods security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/majiabao123/article/details/3957137
版权
本文介绍了如何配置Tomcat以实现安全权限管理。首先通过调整Policy文件`catalina.policy`使Tomcat在安全模式下运行,可以通过命令行参数或图形化工具设置。其次,通过修改`web.xml`文件限制HTTP请求方法,如阻止PUT请求,以增强web应用服务的安全性。此外,推荐使用Fiddler工具进行安全权限测试。
摘要由CSDN通过智能技术生成

一:使用tomcat的Policy文件。

因为Tomcat就是用Java写的,所以也有像javapolicy一样的安全机制,它的Policy文件在Tomcat的安装目录下的conf目录下,名叫catalina.policy的文件。默认的情况下Tomcat的服务都是在非安全模式下运行的,那如何让tomcat服务在安全模式下运行呢,就是如何把Policy安全机制引用进去,大概有两种方式:

①:运行catalina.bat文件,后面加上“-security”参数。

②:运用tomcat提供的配置tomcat服务的图形化工具,即运行bin目录下的tomcat6w.exe,然后打开java的tab页,在java options输入域中加入下面的内容,然后重新启动tomcat服务。

-Djava.security.manager

-Djava.security.policy=%SECURITY_POLICY_FILE%

%SECURITY_POLICY_FILE%为catalina.policy文件所在磁盘的位置。

注意catalina.policy文件中的如下的注释:

// These permissions are granted by default to all web applications
// In addition, a web application will be given a read FilePermission
// and JndiPermission for all files and directories in its document root.

意思就不用说了!

二:配置Tomcat的web.xml文件,给http协议的请求添加安全权限

我们知道HTTP协议有很多请求

最低0.47元/天 解锁文章
majiabao123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat httpHeaderSecurity.jar
04-09
X-Frame-Options标头不包含在HTTP响应中以防止'ClickJacking'攻击 缺少X-Frame-Options头 缺少X-Content-Type-Options Header 未启用Web浏览器XSS保护 等的解决办法 在tomcat下的conf里的web.xml中增加以下过滤器 httpHeaderSecurity org.apache.catalina.filters.HttpHeaderSecurityFilter true antiClickJackingEnabled true antiClickJackingOption SAMEORIGIN httpHeaderSecurity /* 注意:tomcat8以下版本需要下载httpHeaderSecurity.jar这个包
tomcat里面的war包解压后没有访问权限
小雪的博客
03-23 2797
背景 我在aws 上面新开了一个实例,在这个实例上部署tomcat,结果发现我把项目的war包copy到tomcatwebapp目录下,tomcat自动解压后,我始终没有权限进入ROOT目录,cd 进不去,说我没有权限,sudo cd 也进不去。。。只有切换到root权限才可以。 环境 ubuntu tomcat8 问题权限进入tomcat的war包解压后的子目录 原因 由于可能代码中对to...
web项目中tomcat创建文件权限不是755
qq_36635569的博客
05-26 429
这里的umask改成0022,重启下tomcat,之后tomcat创建的文件权限就是755。修改tomcat下的catalina.sh。
Linux 给新用户授予、设置Tomcat目录的使用权限
weixin_39891030的博客
11-18 939
本文目标: 基于安全考虑,将tomcat的使用权限赋给devnote组,新增的用户,只要设置到这个组中,即可以直接使用tomcat。这样一来可以防止用户误删系统或其他用户的文件;二来即使tomcat中的项目有漏洞遭到攻击,也不至于破坏系统。 设置方法: 一、Tomcat目录 创建用户devnote,并设置密码(默认连带创建devnote组) # /usr/sbin/useradd devnote # passwd devnote 将tomcat目录的属主用户设置为devnote,属组设置为
tomcat深入学习—权限
dianjiang0725的博客
12-20 117
如果想给一个应用程序配置权限,可能需要的代码量很多,但你知道吗,仅通过配置tomcat,就能有同样的效果(为一个web应用添加了权限) 效果:打开http://localhost:8080/searchui/,浏览器会让你输入用户名密码(在tomcat配置的),输入成功后,tomcat会判断这个用户有没有权限查看这个web应用,没有权限的话如果不设置可能会返回403 具体配置: ...
Web应用服务tomcat视频.zip
02-19
【描述】:本教程主要涵盖了与Web应用服务Tomcat相关的知识,通过一系列视频课程,深入浅出地讲解了如何搭建LNMP架构,JDK的安装与配置,以及Tomcat的环境部署、目录结构解析和管理端配置等内容。以下是各视频课程...
Tomcat-企业级web应用实战
03-13
此外,还可以配置Tomcat的服务器端口、连接器设置、虚拟主机等参数,以适应不同的服务需求。 总的来说,Apache Tomcat在企业级Web应用中扮演着重要角色,尤其适合处理动态内容。结合其他Web服务器,如Nginx,可以...
Apache Tomcat WEB服务器 v8.0.50
11-07
Apache Tomcat是一款开源的WEB应用服务器,主要用于运行Java Servlet和JavaServer Pages(JSP)技术。作为Apache软件基金会的一部分,Tomcat以其轻量级、高效和稳定的特点在开发者社区中广受欢迎。标题提及的是...
Linux下Tomcat与Apache Web服务器整合.doc
最新发布
06-29
本文详细介绍了如何在Linux环境下安装和配置Tomcat以及如何将其与Apache Web服务器整合在一起。通过这种方式,可以构建出一个高效、稳定的Web服务环境,适用于多种应用场景。未来,随着技术的发展,这些配置方法可能...
web服务器和tomcat服务器配置
03-29
**配置Tomcat服务器** 1. **环境变量**:配置JAVA_HOME指向JDK安装路径,CATALINA_HOME指向Tomcat安装路径。 2. **端口设置**:默认情况下,Tomcat使用8080端口,可在`conf/server.xml`文件中修改。 3. **部署...
Ubuntu下Tomcat 6安全配置policy策略
学习Web开发相关技术
10-21 990
<br /><br />之前一直都没了解过Tomcat安全策略,<br />一直到一天,<br />我把在window下开发好的工程,<br />直接复制到公司测试环境(Redhat + Apache tomcat 6.0.26.tar.gz版)能正常运行,<br />而拖到虚拟机里的Ubuntu(sudo apt-get install tomcat6)里运行,发现servlet跑不起来。。<br />其中的Exception包括:javax.servlet.ServletException java
Content Security Policy是什么?
m0_57236802的博客
06-30 361
CSP 的工作原理是允许网站管理员发送一个 Content-Security-Policy HTTP 头部,这个头部包含一份策略,策略规定了浏览器如何处理网页的资源。比如,管理员可以设置一个策略,只允许浏览器加载同源(same origin)的脚本,这样,即使黑客注入了一个恶意脚本,浏览器也不会执行它。CSP 提供了很多其他的策略指令,可以用来限制图片、CSS、字体等其他资源的加载,也可以用来设置报告策略,告诉浏览器在哪里报告策略的违规行为。这些攻击主要用于实现数据窃取、网站破坏或恶意软件分发。
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2256
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
tomcat
weixin_45936641的博客
01-10 968
web服务 nginx: 轻量级、web 反向代理、简单的负载均衡,处理静态数据的能力比较好;并发量2.5万 apache: 重量级,处理动态数据的能力比较好 servlet:java编写的一个web程序 安装tomcat前要先安装jdk环境 准备一台虚拟机,拖入相关的软件包 [root@localhost ~]# java -version openjdk version "1.8.0_102" OpenJDK Runtime Environment (build 1.8.0_102-b14) Ope
linux下Tomcat配置提示权限不够解决办法
liguu的专栏
12-13 2万+
造成这种情况的原因是将Tomcat放到/opt或其它系统目录下了,解决方案是 打开终端,进入到Tomcat的上一级目录里面,如Tocat目录在/opt/Tomcat 在终端输入命令 sudo chmod -R 777 /opt/Tomcat,那么Tomcat文件夹和它下面的所有子文件夹的属性都变成了777(读/写/执行权限) 另外一种方法是把Tomcat解压到/Home下面,总之将它的权限
tomcat部署war包不成功解决方法
热门推荐
书生的博客
02-27 3万+
一、利用Tomcat自动部署(直接将项目扔到tomcat下的webapps下) 这种方式很简单,但今天我尝试时,本地服务器可以成功(tomcat不重启情况下添加war包可以自动部署),但是远程服务器失败。 想了想,决定使用控制台进行部署;(就是访问tomcat跟路径,比如localhost:8080/) 但是点击箭头部分时,需要输入账号名密码,点击取消,然后就跳转到如下页面: 这个页
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
Content-Security-Policy 入门必知
wy818的专栏
03-18 850
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞,也没法注入脚本,除非还控制了一台列入了白名单的可信主机。 两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。 Header set Content-Security-Policy "script-src 'https:'; obj.
Tomcat 服务器没有启用 httpHeaderSecurity 功能的解决方案
阿啄debugIT
02-09 6975
问题 针对以下问题进行修复: 缺少 "Content-Security-Policy" 头 缺少 "X-Content-Type-Options" 头 缺少 "X-XSS-Protection" 头 主要问题Tomcat 服务器没有启用 httpHeaderSecurity 功能 解决步骤及方法: 登入 192.168.18.66服务器,找到 Tomcat 配置目录:/root/vo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值