jetty禁用http put和delete等方法的方式

最新推荐文章于 2024-06-16 22:31:10 发布
最新推荐文章于 2024-06-16 22:31:10 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: spring 文章标签: jetty Constraint
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuipinglp/article/details/102812710
版权
本文介绍了两种禁用Jetty HTTP PUT和DELETE方法的方式:1. 使用XML配置,详细阐述了配置步骤;2. 在SpringBoot 2.X项目中,结合Jetty容器进行配置的方法。
摘要由CSDN通过智能技术生成

1. 基于xml的配置方式

  <security-constraint>
        <display-name>Example Security Constraint</display-name>
        <web-resource-collection>
            <web-resource-name>Protected Area</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>PUT</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>

2. springboot项目,容器是jetty,版本 springboot 2.X

@Bean
    public JettyServletWebServerFactory createJettyServletWebServerFactory() {
        return new JettyServletWebServerFactory(){
            @Override
            protected void postProcessWebAppContext(WebAppContext webAppContext)
最低0.47元/天 解锁文章
三千大千世界
关注
专栏目录
【墨者学院】ActiveMQ任意文件写入漏洞
hehigoxqc606的博客
08-31 355
【墨者学院】ActiveMQ任意文件写入漏洞 简介: ActiveMQ 是 Apache 软件基金会下的一个开源消息驱动中间件软件。Jetty 是一个开源的 servlet 容器,它为基于 Java的 web 容器,例如 JSP 和 servlet 提供运行环境。fileserver是一个RESTful API接口,我们可以通过GET、PUT、DELETEHTTP请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷。 实验过程: 第一步:访问靶场..
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
朱晓龙的博客
05-14 7370
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
不安全的HTTP方法
冰雨蝶皇的博客
07-17 9403
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全的HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE和CONNECT WebDAV (Web-based Dist...
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 817
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
linux学习42-HTTP服务和APACHE
你的微笑像茉莉的博客
10-21 476
HTTP服务和APACHE 1. 跨Internet的主机间通讯 要通过Internet进行通信,至少需要一对套接字,其中一个运行在客户端,定义了一个唯一的客户进程,称之为ClientSocket,另一个运行于服务器端面,定义了一个唯一的服务器进程,称为ServerSocket。根据连接启动的方式以及本地要连接的目标,套接字之间的连接过程可以分为三个步骤:服务器监听、客户端请求、连接确认 So...
SpringMVC从配置初始化到HTTP请求全流程解析
IT搬砖工在路上
07-24 653
这里是目录启动SpringBoot中DispatcherServlet的配置请求过程RequestMapping过程HandlerAdapter过程ViewResolver过程扩展点 启动 于SpringMVC来说其实没有启动一说,因为它属于SpringFrameWork的一部分,在Spring启动过程中(ApplicationContext初始化过程)就会同时初始化SpringMVC所需要的组件。 而这里我要说的启动其实是说的SpringMVC的原理,其原理也非常简单,即配置并初始化DispatcherS
Spring Boot整合mybatis和扩展SpringMVC,整合SpringData JPA
weixin_44019182的博客
09-30 1587
1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 2014,martin fowler 微服务:架构风格(服务微化) 一个应用应该是一组小型服务;可以通过HTTP方式进行互通; 单体应用:ALL IN ONE 微服务:每一个功能元素最终都是一个可独立替换和独立升级的软件单元; 详细参照微服...
linux中Jetty的安装和配置方法
01-10
Jetty Jetty 是一个开源的servlet容器,它为基于Java的web内容,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。(Jetty是一个开源的软件,可以作为HTTP服务,javax.servlet的容器。) 配置jetty server的步骤:        创建server        配置connector        配置handler        配置servlet    
jetty java 禁用目录列表_jetty禁用http put和delete方法方式
weixin_29009669的博客
02-17 205
1. 基于xml的配置方式Example Security ConstraintProtected Area/*DELETEHEADPUT2. springboot项目,容器是jetty,版本 springboot 2.X@Beanpublic JettyServletWebServerFactory createJettyServletWebServerFactory() {return new...
禁用不安全的http方法
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,不安全的http方法 在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
TOMCAT关闭不安全的HTTP方法(PUT、DELETE、TRACE、OPTIONS等)
06-11 4907
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
HTTP】如何避免OPTIONS请求?
热门推荐
smart_dream
03-01 3万+
场景:在调用后端接口的时候会出现两次请求:OPTIONS请求和GET请求。OPTIONS请求耗费了一定的时间,需减少OPTIONS请求。 查找原因是浏览器对简单跨域请求和复杂跨域请求的处理区别。 XMLHttpRequest会遵守同源策略(same-origin policy). 也即脚本只能访问相同协议/相同主机名/相同端口的资源, 如果要突破这个限制, 那就是所谓的跨域, 此时需要遵守...
刚入职,写接口用了PUT和DELETE方法,结果被同事喷了,感觉自己被针对了
最新发布
persist213的博客
06-16 460
事情是这样,某社交平台上有个兄弟发帖,说自己刚入职国企,写了个借口,用了PUT和DELETE方法,前段说不能用这两个,这位仁兄感觉很委屈,特地发帖吐槽。其实站在安全的角度来说,真没冤枉你,这都啥年代了,作为开发,这几本的安全开发规则都不懂啊,PUT和DELETE方法是危险方法,基本上在开发中是被禁止使用的。
http的PUT、DELETE不安全?
u014644574的博客
12-19 9946
本文主要记录我们的讨论过程及结论,具体测试代码就不贴了。 一、背景 最近研发让我开一下服务器的put、delete方法,被我以不安全的http方法给拒绝了。 研发表示我很无理,put怎么就是不安全的了,在他看来,put和post只是语义上的不同。如果put是不安全的方法,那么post也是不安全的方法了。 网上的说法也是分为两派,一派说这些都是不安全的方法,要关掉;另一派说它们只是语义上的区别,不存在安不安全。 二、一探究竟 经过我和研发各自编写测试用例来论证后,我明白了为什么会有这样的分歧:我是
通过nginx配置防御web漏洞
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-28 1991
# 相关安全漏洞响应头 # 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用 add_header X-Content-Type-Options nosniff; # 检测到目标 X-XSS-Protection响应头缺失 add_header X-XSS-Protection "1; mode=block"; # 检测到目标 Content-Security-Policy响应头缺失 add_head
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值