禁用 OPTIONS 请求

最新推荐文章于 2024-05-28 19:44:41 发布
最新推荐文章于 2024-05-28 19:44:41 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: nginx java 文章标签: tomcat java nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42033668/article/details/131772495
版权
java 同时被 2 个专栏收录
15 篇文章 2 订阅
订阅专栏
nginx
2 篇文章 0 订阅
订阅专栏

背景:

渗透测试结果为 不安全的HTTP方法 OPTIONS

描述

验证

curl -v -X OPTIONS http://localhost/xcall/token/refresh?_t=1689589608

在这里插入图片描述

解决方案(2选1):

1.spring项目加上:


import org.apache.tomcat.util.descriptor.web.SecurityCollection;
import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class TomcatConfig {

    @Bean
    public ConfigurableServletWebServerFactory configurableServletWebServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        factory.addContextCustomizers(context -> {
            SecurityConstraint securityConstraint = new SecurityConstraint();
            securityConstraint.setUserConstraint("CONFIDENTIAL");
            SecurityCollection collection = new SecurityCollection();
            collection.addPattern("/*");
            collection.addMethod("HEAD");
//            collection.addMethod("PUT");
//            collection.addMethod("DELETE");
            collection.addMethod("OPTIONS");
            collection.addMethod("TRACE");
            collection.addMethod("COPY");
            collection.addMethod("SEARCH");
            collection.addMethod("PROPFIND");
            securityConstraint.addCollection(collection);
            context.addConstraint(securityConstraint);
        });
        return factory;
    }

}

nginx配置

在 nginx.conf 配置文件中,增加如下内容:

		if ($request_method ~* OPTIONS) {
				return 403;
		}

在这里插入图片描述
别忘了重启nginx

/usr/local/nginx/sbin -s reload
 
 
systemctl restart nginx

测试修复结果

tomcat 返回
在这里插入图片描述
nginx返回

在这里插入图片描述

清秋め
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx 关闭/屏蔽 PUT、DELETE、OPTIONS 请求
ideal-lingyun
09-24 2848
Nginx 关闭/屏蔽 PUT、DELETE、OPTIONS 请求
【SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞】
ZQL666123的博客
10-20 2241
SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞,漏洞扫描时修复漏洞
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 474
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
Google Chrome 如何屏蔽 OPTIONS 请求
极客点儿
05-31 2449
了解了 `OPTIONS` 是预请求之后该如何屏蔽 OPTIONS 请求呢?答案很简单,只需要在 `Filter` 中输入 `-method:OPTIONS` 即可!
Nginx 设置禁用 OPTIONS 请求以及允许跨域
wd520521的博客
05-10 7027
1、修改 nginx 配置 在 nginx.conf 配置文件中,增加如下内容: if ($request_method ~* OPTIONS) { return 403; } 效果如下:(如果配置了SSL,则需要在SSL也配置一下) 2、重启 nginx 服务 /usr/local/nginx/sbin -s reload systemctl restart nginx service nginx restart 3、功能验证 使用如下命令: curl .
跨域请求避免OPTIONS请求(预检请求
Turbo
07-06 1万+
有时候前后端分离域名不一致,会造成跨域请求 而跨域请求有时候会自动发起两次请求,第一次为预检请求,即OPTIONS请求 一般来说使用 application/json 的 post 请求是必然会带入OPTIONS请求 OPTIONS请求也被称为预检请求,主要用于获知服务端支持的HTTP请求方法。跨域资源共享(CORS)标准新增了一组 HTTP 首部字段,配合预检请求可获知服务器允许哪些源站通过浏览器有权限访问哪些资源。 但是在有些get请求中也会OPTIONS请求,这里补充下回发生options的情况 当发
【HTTP】如何避免OPTIONS请求
热门推荐
smart_dream
03-01 3万+
场景:在调用后端接口的时候会出现两次请求OPTIONS请求和GET请求OPTIONS请求耗费了一定的时间,需减少OPTIONS请求。 查找原因是浏览器对简单跨域请求和复杂跨域请求的处理区别。 XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守...
Vue使用axios出现options请求方法
10-16
然而,有时在进行跨域请求时,浏览器会先发送一个预检请求OPTIONS请求),这是由于CORS(Cross-Origin Resource Sharing,跨源资源共享)机制的规定。当请求的HTTP方法不是GET、HEAD、POST,或者请求头部包含...
Spring Cloud出现Options Forbidden 403问题解决方法
08-28
在使用Spring Cloud进行开发过程中,可能会遇到OPTIONS请求Forbidden的问题,这是由于CORS(Cross-Origin Resource Sharing,跨域资源共享)请求导致的。CORS请求分为两类:简单请求和非简单请求。简单请求的处理...
apache的AllowOverride以及Options使用详解
09-15
- `Options`:允许启用或禁用特定的目录特性,如`FollowSymLinks`、`Indexes`和`ExecCGI`。 `Options`指令则控制了Apache服务器在特定目录下的一些特性。以下是一些常见的`Options`值: - `All`:启用所有选项,...
tomcat禁止PUT等方法
03-29
在本例中,我们将禁止 PUT、DELETE、HEAD、OPTIONS 和 TRACE 等方法。 最后,我们需要在 security-constraint 元素中添加一个 auth-constraint 元素,该元素用于定义身份验证约束。在本例中,我们将使用 BASIC 身份...
Nginx 设置禁用 OPTIONS 请求以及允许跨域教程!
高性价比服务器就选:蓝易云
07-01 2241
通过按照上述步骤,在Nginx中设置禁用OPTIONS请求和允许跨域。请确保在编辑Nginx配置文件时使用正确的服务器名称或IP地址。替换为您的域名或IP地址。替换为您的域名或IP地址。
SpringBoot 项目[若依项目禁止OPTIONS等不安全的请求] 增加 OPTIONS 不安全请求处理
qq_33317238的博客
12-23 6213
SpringBoot 若依 禁用 OPTIONS请求
关于spring boot 拦截器 跨域 OPTIONS的解决方案
MyZy_的博客
08-15 1138
这边设置了http://localhost:5173,之前设置的是通配符 * ,然后我自信满满的重新运行、刷新、好,它报错,问题没解决,我抓耳挠腮的在服务器和本地都调试了一遍,都不行!后面网上找了一大堆,我看到一个OPTIONS解决的一个问题,哦豁!运行,刷新,问题解决~
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
朱晓龙的博客
05-14 7016
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用tomcat禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 721
Web服务器上启用了HTTP OPTIONS方法。OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE不安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx中的配置: server { listen ...
响应头缺失、禁用Options方法、解决跨域
m0_37642477的博客
09-02 7269
web安全响应头
web端vue项目跨域避免options请求
weixin_30925411的博客
03-22 3778
vue项目前端配置: Axios.defaults.timeout = 10000 Axios.defaults.baseURL = ApiUrl.baseURL Axios.defaults.headers.common['X-Requested-With'] = 'XMLHttpRequest'; Axios.defaults.withCredentials = true /...
怎么关闭浏览器options请求
07-13
要关闭浏览器中的 OPTIONS 请求,您可以通过在服务器端进行相应的配置来实现。OPTIONS 请求是用于跨域资源共享(CORS)的一种预检请求,其目的是让服务器知道实际请求是否被允许。 具体的步骤取决于您使用的服务器和后端技术。以下是一些常见的方法: 1. Apache 服务器: 在您的 Apache 配置文件(例如 httpd.conf)中添加以下行,禁用 OPTIONS 请求: ``` <LocationMatch "^/your-resource-url$"> <LimitExcept GET POST HEAD> Order deny,allow Deny from all </LimitExcept> </LocationMatch> ``` 2. Nginx 服务器: 在您的 Nginx 配置文件(例如 nginx.conf)中添加以下行,禁用 OPTIONS 请求: ``` location /your-resource-url { if ($request_method = 'OPTIONS') { return 403; } } ``` 请将 "your-resource-url" 替换为您希望禁用 OPTIONS 请求的具体资源路径。 这些配置将告诉服务器在收到 OPTIONS 请求时返回一个错误状态码,从而关闭该请求。请确保在修改服务器配置之前备份文件,并确保您对服务器配置有足够的了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值