tomcat 禁用trace,put,head,post,delete 请求方式

最新推荐文章于 2024-05-28 19:44:41 发布
最新推荐文章于 2024-05-28 19:44:41 发布
阅读量1.5w 收藏 19
点赞数 7
分类专栏: java基础 文章标签: tomcat java http请求
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samz5906/article/details/79887580
版权

背景 

 项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。

实现

 在tomcat的web.xml配置文件最后加上请求方式限制,配置如下,本次使用的tomcat8

<security-constraint>  
        <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
	    <http-method>HEAD</http-method>  			
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>
        </web-resource-collection>  
        <auth-constraint>  
        </auth-constraint>  
    </security-constraint>           

 这里主要目的是限制服务器只接受GET,POST请求,不做其他权限限制,本配置即可满足。

问题

 经过测试,除TRACE请求其他请求方式都顺利拦截。TRACE请求返回的是405 method not allowed,也就是说TRACE没有被拦截。通过查资料发现Connector 中有个allowTrace属性,这里默认禁用了trace请求,将allowTrace设置为true就可以限制TRACE请求了,至于为什么,我的理解是Connector的优先级高于 security-constraint的配置。

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"  allowTrace="true"/>

以上都是个人理解,欢迎拍砖!




一子三木
关注
  • 7
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
springboot使用undertow服务器禁用TRACE请求
qq_16171201的博客
02-21 1080
springboot使用undertow服务器禁用TRACE请求
详解tomcat 解决 POST请求传参数过长受限制的问题
09-30
此外,还应考虑优化应用程序的设计,例如分批上传大段数据,或者使用其他数据传输方式,如文件上传接口,以减少通过POST请求传递大量文本数据的情况。 总结: TomcatPOST请求参数长度限制可以通过修改`server.xml...
Java SpringBoot项目限制PUT、DELETETRACE、OPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 492
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
TOMCAT禁用请求类型,如TRACE,HEAD,PUT,DELETE,OPTIONS等
qq_34192626的博客
10-12 3590
项目中常用的请求方式有GET和POST,但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的,通常会禁用除GET和POST之外的请求方式。 经过测试,在tomcat的web.xml配置文件最后加上请求方式限制,配置如下: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="...
Tomcat禁用 OPTIONS 和 TRACE 并隐藏 Apache-Coyote/1.1 并启动APR模式
chuai5828的博客
07-24 1131
其实禁用OPTIONSTRACE 等动词就是禁用webdev协议 打开tomcat–>conf–>web.xml 文件: 将以下代码注释或删除: <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" x...
如何在Jetty中禁用Trace方法
qq_33479841的博客
11-18 4210
1.概述 在最近一次的服务器漏洞检测中,我们线上的某个服务检测出漏洞:远端www服务支持TRACE请求。由于服务是基于springboot开发,容器选择的是内置的Jetty,所以本文针对的是Jetty容器如何禁止接收HTTP TRACE请求。 2.解决方案 2.1 什么是Trace Trace请求是HTTP请求的一种,可以用来回显服务器收到的请求,主要用于测试或诊断。个人之前基本没关注过这个请求方法,只知道它是HTTP请求的一种。TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另
使用Post方式提交数据到Tomcat服务器的方法
09-02
在本文中,我们将深入探讨如何使用POST方式提交数据到Tomcat服务器。POST方式与GET方式在创建Web工程时虽然基本架构相同,但在处理请求时有显著的区别。POST方式主要用于发送大量或敏感的数据,因为它可以携带的数据...
tomcat访问(access)日志配置和记录Post请求参数
01-10
一、配置与说明 tomcat访问日志格式配置,在config/server.xml里Host标签下加上 prefix=localhost_access_log. suffix=.txt pattern=%h> 我们在日志文件中将看到如下文本: 10.217.14
tomcat中间件禁用webdav方法
01-02
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法。
IIS 部署的应用禁用HTTP TRACE / TRACK方法【原理扫描】
tone1128的博客
07-13 4018
远程Web服务器支持TRACE和/或TRACK方法。TRACE和TRACK是用于调试Web服务器连接的HTTP方法。
Web安全-Tomcat禁用Web服务器内置不安全请求方法
acooly
11-23 2134
1. 背景说明 Web安全测试中,会要求屏蔽非必要的不安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,不同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
Tomcat安全配置
沧笙踏歌的博客
06-02 3594
删除webapps目录中的docs、examples、host-manager、manager等正式环境用不着的目录,这一步就可以解决大部分漏洞。有的网站没删除manager页面,并且管理员弱口令,导致直接Getshell删除webapps目录下的自带项目。
Tomcat基线检查
gd0913的博客
04-20 1880
既无权访问非必须的文件,又不能执行非必须的程序 威胁等级:High 规则描述 缺省情况下,Java运行时根据运行它的用户授予安全权限。当Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。并且Servlets(JSP在运行过程中要转换成Servlets)取得了同样的权限。所以Java代码可以调用Java SDK中的文件API列出文件夹中的全部文件,删除任何文件,最大的危险在于以系统权限运行
关于允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置安全处理方法
暖风
01-05 2726
基于Apache Web服务器对一下发现的安全问题进行配置处理,包含允许TRACE方法,HTTP X-XSS-Protection缺失,HTTP Content-Security-Policy缺失,X-Frame-Options Header未配置,HTTP X-Download-Options缺失,HTTP X-Content-Type-Options缺失,HTTP X-Permitted-Cross-Domain-Policies缺失,会话Cookie中缺少HttpOnly属性,会话Cookie中缺少s
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9428
远端WWW服务支持TRACE请求
学习-Springboot禁止内置Tomcat不安全的HTTP方法
liutinghui989的博客
04-17 8320
SpringBoot禁止内置Tomcat不安全的HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
tomcat禁用PUT 如何配置
04-13
对于这个问题,可以通过在Tomcat的web.xml文件中对HTTP方法进行配置来禁用PUT方法。具体的配置方式如下: 1. 找到Tomcat的web.xml文件,一般位于$CATALINA_HOME/conf/web.xml。 2. 在web.xml中添加如下配置: ``` <security-constraint> <web-resource-collection> <web-resource-name>Restricted methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> </web-resource-collection> <auth-constraint/> </security-constraint> ``` 3. 重启Tomcat服务,禁用PUT方法就生效了。 需要注意的是,禁用PUT方法可能会影响到某些应用程序的正常工作,因此在进行配置时需要仔细考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值