说明
HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:
OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*'的请求来测试服务器的功能性。
HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。
GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。
POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。
PUT 向指定资源位置上传其最新内容。
DELETE 请求服务器删除Request-URI所标识的资源。
TRACE 回显服务器收到的请求,主要用于测试或诊断。
CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。
HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。
HTTP的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:
配置方法
在你的web服务的web.xml 文件里添加如下
<!-- 关闭不安全的HTTP方法 -->
<security-constraint>
<web-resource-collection>
<web-resource-name>baseproject</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>PUT</http-method>
<http-method>DELETE </http-method>
<http-method>CONNECT </http-method>
</web-resource-collection>
<auth-constraint>
<description>baseproject</description>
<role-name>All Role</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- 关闭不安全的HTTP方法 -->
url-pattern 参数定义了你要禁用的链接,默认是/*
http-method参数包含了你要禁用的HTTP方法
坑爹的地方
1. 我们并不需要修改web-app协议(这个我的是不需要的,如果你tomcat有问题,可以试试)
2. 有的时候我们配置了会不生效,这时候你需要找下,你的web项目是不是自定义了403页面,我们不生效的原因就是这个!我们需要做的就是注释掉它(有的时候我们是为了屏蔽tomcat版本,但是没办法,屏蔽了就是不生效),这样就生效了!!
<!--
<error-page>
<error-code>403</error-code>
<location>/authorizationFailure.html</location>
</error-page>
-->
结果验证
1.用抓包软件来抓取(可以下载Burpsuite+1.7.26+Unlimited来测试)
2.用 curl -v -X OPTIONS http://你的地址/你的项目
当显示下面的的ALLOW:证明你配置没成功,请求还是存在
当没有ALLOW参数,证明你成功了!
1422
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
