tomcat下禁用不安全的http方法

最新推荐文章于 2022-07-21 14:24:50 发布
最新推荐文章于 2022-07-21 14:24:50 发布
阅读量392 收藏
点赞数
分类专栏: java 文章标签: tomcat webDav
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/serisboy/article/details/84118530
版权
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.NET应用的朋友就应该知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下,WebDAV在tomcat中的配置。 

 

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?

解决方法

第一步:修改应用程序的web.xml文件的协议

Xml代码  
<?xml version="1.0" encoding="UTF-8"?>  
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4">  

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">
第二步:在应用程序的web.xml中添加如下的代码即可

Xml代码  
  <security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
<http-method>DELETE</http-method>  
<http-method>HEAD</http-method>  
<http-method>OPTIONS</http-method>  
<http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>




重新部署程序,重启tomcat即可完成

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。

关于web.xml的详细配置见
[url]http://www.blogjava.net/baoyaer/articles/107428.html[/url]
啊彪123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
各中间件禁用安全HTTP方法
02-10
本文主要介绍如何在几种常见的中间件中禁用安全HTTP方法,包括TOMCAT、IIS和JBOSS。 #### TOMCAT **TOMCAT**是一款流行的开源Java Web容器,为了提高安全性,可以禁用一些不安全HTTP方法。具体步骤如下: 1...
关于Tomcat的AJP端口禁用.docx
04-08
总之,禁用Tomcat的AJP端口是加强服务器安全的重要步骤,尤其是在不使用AJP通信或存在安全顾虑时。通过以上方法,您可以根据实际需求选择合适的方式来禁用或限制AJP服务,从而提高系统的整体安全性。
web安全tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
tomcat 禁用安全http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
tomcat 禁用安全http请求模式 .
weixin_34290000的博客
10-13 368
  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。      http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法禁用。有两种方式: 一、修改应用中的web.xml:     第一步:修改web-app协议   ...
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2104
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
Tomcat禁用安全HTTP方法经历
shen3422的博客
09-21 3556
主要是在tomcat的web.xml或者项目的web.xml中配置以下参数 &lt;security-constraint&gt; &lt;web-resource-collection&gt; &lt;web-resource-name&gt;fortune&lt;/web-resource-name&gt; &lt;url-pattern&gt;/*&lt;/url-pattern&gt; ...
tomcat同时使用httphttps访问的配置方法
09-30
本文将详细讲解如何配置Tomcat服务器,使其能够同时支持HTTPHTTPS协议,以满足不同场景下的安全需求。 首先,要理解HTTPHTTPS的区别。HTTP(超文本传输协议)是一种无状态、明文传输的数据通信协议,它不提供...
禁止tomcat安全HTTP请求方法并屏蔽tomcat默认的报错信息
06-03 4344
Tomcat版本 8.0.15 1、禁止tomcat安全HTTP请求方法 在 ./conf/web.xml 中 第一步:将<web-app>协议替换为:【此处协议有可能不需要替换】 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" x.
apache禁用安全http法_tomcat下禁止不安全http方法
weixin_32126033的博客
12-24 489
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对...
启用了不安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
tomcat配置 连接数(优化)
04-03
NULL 博文链接:https://xiaotao-2010.iteye.com/blog/1458944
tomcat禁用非法HTTP,设置最小连接数和最大连接数,错误页面重定向等
三朝看客
07-15 2302
tomcat禁用非法HTTP方法 编辑web.xml文件中配置 org.apache.catalina.servlets.DefaultServlet的 <init-param> <param-name>readonly</param-name> <param-value>true</param-value> </init-...
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1809
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
Tomcat启动了不安全HTTP方法解决办法
liangpingguo的博客
10-27 3404
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
Tomcat 禁用安全HTTP 请求模式及测试
weixin_30708329的博客
05-22 292
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。 HT...
禁用安全http方法
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
Spring boot 内置tomcat禁止不安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
tomcat修改web.xml配置禁用options方法
最新发布
06-07
禁用 Tomcat 中的 OPTIONS 方法,可以通过修改 web.xml 文件来实现。具体方法是在 web.xml 文件中添加一个名为 "default" 的 servlet,并将其映射到 "/*" 路径。然后,将 "default" servlet 的 "enableLookups" 属性设置为 false,即可禁用 OPTIONS 方法。 以下是一个示例 web.xml 文件的配置: ```xml <?xml version="1.0" encoding="UTF-8"?> <web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> <servlet> <servlet-name>default</servlet-name> <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class> <init-param> <param-name>listings</param-name> <param-value>false</param-value> </init-param> <init-param> <param-name>enableLookups</param-name> <param-value>false</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <servlet-mapping> <servlet-name>default</servlet-name> <url-pattern>/*</url-pattern> </servlet-mapping> </web-app> ``` 在上面的配置中,将 "default" servlet 的 "enableLookups" 属性设置为 false,以禁用 Tomcat 中的 LOOKUP 和 OPTIONS 方法。注意,这种方法禁用所有的 LOOKUP 和 OPTIONS 方法,包括可能被应用程序使用的那些。如果应用程序需要使用这些方法,应该使用其他方法来限制它们的使用,例如使用过滤器或拦截器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值