Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问

已于 2024-05-28 19:45:00 修改
阅读量849 收藏
点赞数 3
分类专栏: 程序员修复器 文章标签: java spring boot servlet
于 2024-05-28 19:44:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mekings13/article/details/139276094
版权

在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽

SpringBoot项目中可以使用filter过滤器来拦截请求

书写一个 HttpMethodFilter 过滤器

@Order(0)
@WebFilter(filterName="methodFilter", urlPatterns="/*")
public class HttpMethodFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 过滤器初始化
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        // 检查请求方法是否为POST或GET
        if ("POST".equalsIgnoreCase(httpRequest.getMethod()) || "GET".equalsIgnoreCase(httpRequest.getMethod())) {
            // 如果是POST或GET,则继续链路
            chain.doFilter(request, response);
        } else {
            // 如果不是,则返回错误状态码
            httpResponse.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);
        }
    }

    @Override
    public void destroy() {
        // 过滤器销毁
    }
}

将过滤器注入

@Configuration
public class CustomFilterConfig {

    @Bean
    public FilterRegistrationBean<HttpMethodFilter> httpMethodFilterFilterRegistrationBean(){
        FilterRegistrationBean<HttpMethodFilter> registrationBean = new FilterRegistrationBean<HttpMethodFilter>();
        registrationBean.setFilter(new HttpMethodFilter());
        // 配置过滤的 URL
        registrationBean.addUrlPatterns("/*");
        return registrationBean;
    }

}

汤圆不扁
关注
专栏目录
Springboot的POST、GET、PUT、DELETE请求
qq_31940707的博客
04-12 1281
1 Spring的请求前文我们的访问我们的项目直接就是用的http://localhost:8080/,这里对于具体的项目我们可以加上项目路径并且设置端口号。在application.properties文件中,(server.port=8080)server.port=8081此时访问我们的项目就要使用http://localhost:8081,端口号可以不指定,则会使用默认的端口号8080,...
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE不安全方法
热门推荐
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx中的配置: server { listen ...
Spring Boot 表单无法发送PUT、DELETE请求
c2861024198的博客
10-29 1998
在表单中创建 <input type="hidden" name="_method" value="PUT" th:if="${emp!=null}"> 后依旧无法发送PUT请求,原因是springBoot默认关闭了MVC的HiddenHttpMethodFilter,因此需要打开。 打开方式:在application.properties中添加: # 开启mvc的Hidd...
put请求和delete请求拦截问题
最新发布
qq_53840970的博客
08-13 543
PUT 请求用于向服务器发送数据,以更新服务器上指定资源的内容。DELETE 请求用于请求服务器删除指定的资源。
SpringBoot项目禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞】
ZQL666123的博客
10-20 2722
SpringBoot项目禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞,漏洞扫描时修复漏洞
不同层面禁用PUT、DELETE、HEAD、TRACEOPTIONS请求方式
朱晓龙的博客
05-14 7420
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
Springboot解决不安全的请求
01-05 762
禁止使用GET、POST以外的HTTP方法,如PUT、DELETETRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
Springboot2.2对put,detele方法的更改
万汉龙的博客
11-15 763
springboot 2.2.x 默认不支持put ,delete等请求方式,原因是默认关闭了对它们的支持,只要在application.yml里面打开即可 spring.mvc.hiddenmethod.filter.enabled=true
springboot禁用内置Tomcat的不安全请求方法
angyuhh07719的博客
05-15 2485
起因:安全组针对接口测试提出的要求,需要关闭不安全的请求方法,例如put、delete方法,防止服务端资源被恶意篡改。 用过springMvc都知道可以使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,通过查阅相关资料,答案是肯定的。 tomcat...
gin跨域时Get,Post正常Put,Delete被阻止的问题解决
Ioridy
03-15 1424
问题本身没有什么,但有意思的是过程,因为我先写的服务端,且确定加了跨域的中间件,且在写前端的时候,之前常用的Get和Post访问都没有出现跨域的问题,所以问题出现时,没有第一时间联系到时服务端的问题。同一个项目请求同一个服务时,Get和Post请求正常,但是Put和Delete一直报跨域错误的问题。方法不行,于是去查看服务端的跨域中间件, 发现没有在Header中明确指定。的,所以及时没有明确设置也可以通过,但是其他的方法就需要。网上查了些信息,整体描述是因为Get和Post的方法是。
浅谈Laravel POST,PUT,PATCH 路由的区别
10-16
在HTTP/1.1协议中定义了八种请求方法,即GET、POST、PUT、PATCHDELETE、HEAD、OPTIONSTRACE。其中,GET用于请求指定资源的数据,POST用于向服务器提交数据,PUT用于请求服务器将请求主体存储在提供的URI下,...
http_method_names = ['get', 'post', 'put', 'patch', "delete", 'head', 'options', 'trace']
07-15
例如,将 PUT、PATCHDELETE 方法添加到列表中,可以修改 `http_method_names` 如下: ```python http_method_names = ['get', 'post', 'put', 'patch', 'delete'] ``` 这样,视图类就会处理这些方法对应的请求...
SpringBoot针对前后端分离CORS跨域中的OPTIONS预请求正确方式
qq_40144558的博客
08-27 3816
前后端分离情况下,正常的是通过nginx做的跨域设置以及OPTIONS预请求,在springboot代码中同样也可以处理 import lombok.extern.slf4j.Slf4j; import org.springframework.beans.factory.annotation.Value; import org.springframework.http.HttpMethod...
【Django】django中的处理请求request(get,post,put,patchdelete)的两种视图
破旧牛仔裤的基地
08-16 2688
总结了django中请求和响应的处理方法,基于函数的视图FBV和基于类的视图CBV
HTTP请求方法详解:GET、POST、PUT、DELETE等常见请求方法的含义与用法
通过使用不同的请求方法,可以对同一个资源进行不同的操作。在本章节中,我们将介绍HTTP请求方法的概念、分类以及对应的操作。 ## 1.1 什么是HTTP请求方法 HTTP请求方法是指定义了对资源的不同操作方式的HTTP协议...
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
springboot整合springSecurity出现的问题,post,delete,put无法使用
sugar-foxs
06-19 2991
springbootSpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过。 其他方法请求时,需要有token 解决方法: 1,支持post的方法:       1,如果使用freemarker模板       在form里添加       2,使用ajax时        $.ajax({
springboot解决不安全的HTTP请求方式安全漏洞
Think_and_work的博客
07-05 2646
springboot解决不安全的HTTP请求方式安全漏洞
tomcat 禁用trace,put,head,post,delete 请求方式
shuxiansheng1的博客
07-15 3706
背景 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。 实现 在tomcat的web.xml配置 文件最后加上请求方式限制,配置如下,本次使用的tomcat8 <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值