如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序

最新推荐文章于 2022-12-09 10:12:37 发布
最新推荐文章于 2022-12-09 10:12:37 发布
阅读量2.1k 收藏
点赞数
分类专栏: 我的笔记 文章标签: delete tomcat 配置管理 asp.net encoding web服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tanghongming2012/article/details/7765620
版权

简介

 WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。
     现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.NET应用的朋友就应该知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下,WebDAV在tomcat中的配置。

 

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?

解决方法

第一步:修改应用程序的web.xml文件的协议

  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  4.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
  5.     version="2.4">  
第二步:在应用程序的web.xml中添加如下的代码即可

  1.  <security-constraint>  
  2.    <web-resource-collection>  
  3.       <url-pattern>/*</url-pattern>  
  4.       <http-method>PUT</http-method>  
  5. <http-method>DELETE</http-method>  
  6. <http-method>HEAD</http-method>  
  7. <http-method>OPTIONS</http-method>  
  8. <http-method>TRACE</http-method>  
  9.    </web-resource-collection>  
  10.    <auth-constraint>  
  11.    </auth-constraint>  
  12.  </security-constraint>  
  13.  <login-config>  
  14.    <auth-method>BASIC</auth-method>  
  15.  </login-config>  

重新部署程序,重启tomcat即可完成

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。

关于web.xml的详细配置见

http://blog.csdn.net/tanghongming2012/article/details/7765623

tanghongming2012
关注
专栏目录
tomcat禁止PUT等方法
03-29
然而,在某些情况下,我们可能需要禁止 Tomcat 上的某些 HTTP 方法,例如 PUT、DELETEHEADOPTIONSTRACE 方法,以确保应用程序的安全性。 在本文中,我们将讨论如何禁止 Tomcat 上的 PUT 等方法,以防止未经...
如何强制java服务器只接受tls 1.2并拒绝tls 1.0和tls 1.1连接
03-09 4046
如何强制java服务器只接受tls 1.2并拒绝tls 1.0和tls 1.1连接 javaweb项目使用tomcat作为运行服务器,使用默认传输协议进行传输,结果被安全软件扫描出漏洞,建议禁止tls1.0和tls1.1传输协议,总结方法如下,亲测有效 1.在服务器上的文件jre/lib/security/java.security中设置: jdk.tls.disabledAlgorithms=SSLv2Hello, SSLv3, TLSv1, TLSv1.1 2.若使用nginx代理服务器,则在ngin
tomcat wedav 禁止DELETE、PUT、OPTIONSTRACEHEAD协议访问应用程序应用程序
建伟博客
09-18 1435
http://jiessiedyh.iteye.com/blog/418316 http://blog.csdn.net/mqboss/article/details/7466736 http://blog.csdn.net/huang_xw/article/details/6194232 http://lgstarzkhl.iteye.com/blog/534125 http://www...
不同层面禁用PUT、DELETEHEADTRACEOPTIONS请求方式
朱晓龙的博客
05-14 7556
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml中设置一些参数即可: 可能web.xml中以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
Http协议Delete和Put方法用法
04-27
一般来说,Web服务器默认的只支持Post和Get...但是随着Ajax XMLHttpRequest 和 REST风格应用的深入,我们发现Http 1.1协议还支持如下请求方法(Request Method): •OPTIONSHEADDELETE •PUT •TRACE •CONNECT
restlight:使用Android和Java编写的HTTP库中的Restlight,在HTTP como中的用法:GET,POST,HEADOPTIONS,PUT,DELETETRACE; 外部hacia servidores
02-16
休息灯Restlight ES UNA LIBRERIA HTTP对Android的Ÿ的Java,阙facilita拉creación德peticiones科莫HTTP:GET,POST,HEADOPTIONS,PUT,DELETEÿTRACE; 外部hacia servidores。 o耶普洛斯要求提供奶油冰淇淋。 ...
HTTP协议及应用技术培训
05-17
HTTP(超文本传输协议)是互联网上应用最广泛的一种网络协议,用于规范浏览器和Web服务器之间的通信规则。HTTP协议经历了不同的版本发展,如HTTP/0.9、...理解和掌握HTTP协议对于开发、优化和调试Web应用程序至关重要。
关于get.post delete put 的用法
11-25
在 HTTP 中,定义了多种方法来与服务器进行交互,今天我们来详细讲解 GET、POST、DELETE、PUT 等方法的用法。 OPTIONS 方法 OPTIONS 方法用于返回服务器针对特定资源所支持的 HTTP 请求方法。这个方法可以让客户端...
Tomcat性能调优方案
cy88888的专栏
12-14 303
一、操作系统调优 对于操作系统优化来说,是尽可能的增大可使用的内存容量、提高CPU的频率,保证文件系统的读写速率等。经过压力测试验证,在并发连接很多的情况下,CPU的处理能力越强,系统运行速度越快。。 【适用场景】 任何项目。 二、Java虚拟机调优 应该选择SUN的JVM,在满足项目需要的前提下,尽量选用版本较高的JVM,一般来说高版本产品在速度和效率上比低版本会有改进。 JDK1.4
启用了不安全的HTTP方法
u013673367的专栏
08-20 2065
启用了不安全的HTTP方法   2012-09-12 18:09:17|  分类: IT技术 |  标签:curl  webdav  tomcat  安全测试  |举报|字号 订阅 安全风险:       可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因:       Web 服务器或应用程序服务器是以不安全的方式配置的。 修
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
PUT/DELETE 为何成了 HTTP 协议中的不安全方法
weixin_46099455的博客
08-28 7027
由于 Nginx 在设计时,或许是为了减轻小白的上手难度,在开启 WebDAV 时没有强制要求用户必须配置访问认证,这导致了某些 SB 用户在公网上开启了 WebDAV 而没有进行认证配置,从而导致了安全问题。导致服务器上的数据泄露或获取服务器权限。总结: PUT/DELETE 在 HTTP 协议中是否安全主要跟代码逻辑相关,并非是使用了这种方法就造成访问不安全,由于代码是运行在容器中,如果容器配置不当,会导致一些安全风险,安全工程师并不理解代码背后的逻辑,从而将 PUT、DELETE 给一刀切了。...
PUT和DELETE部署在内网服务器后 外网无法请求的问题
weixin_52531602的博客
12-09 5313
PUT和DELETE部署后无法请求到的问题
处理请求方式过滤器(put、delete
qq_52263468的博客
08-09 333
在web.xml中配置完过滤器后,还需要在配置一个隐藏域来声明这是一个put请求,这个隐藏域的name必须叫_method ,他的value是你需要的请求方式的名称。
HTTP的四种请求方法GET、POST、PUT、DELETE
31楼下小黑的博客
09-19 7318
转载自REST模式中HTTP请求方法(GET,POST,PUT,DELETE) 四种HTTP的请求方式: 一直在测试REST模式的WEB SERVICE接口,客户端的HTTP的请求方式一般分为四种:GET、POST、PUT、DELETE,这四种请求方式有什么不同呢。简单的说,GET就是获取资源,POST就是创建资源,PUT就是更新资源,DELETE就是删除资源。具体来说: PUT:PUT请求是向服务器端发送数据的,从而改变信息,该请求就像数据库的update操作一样,用来修改数据的内容,但是不会增加数据的种
HTTP中间层不支持PUT/DELETE等特定METHOD时的处理
北亮的专栏
11-30 1万+
昨天,有兄弟跑过来找我,说正在开发的支付宝小程序,只支持HTTP协议里的GET和POST请求,不支持PUT/DELETE请求!?!? 我们的很多线上服务都已经是按restful设计,有PUT和DELETE的api,总不可能让这些服务都为了支付宝,适配一堆POST的api吧?这个工作量不说,后续的维护以及新功能开发,都存在麻烦!暂时不考虑这种方案! 这时,一个同事说有一个扩展属性:X-HTTP-Me...
用域名访问接口, get和post请求均正常,而put和delete请求均无法正常使用
相约黄昏后
07-12 1万+
问题描述:在内网环境下, 用IP访问接口均正常。但是在外网环境中用域名访问接口,get和post请求均正常,而put和delete请求均无法正常使用。
c#httpclient中get、 POST、PUT、DELETEHEADOPTIONSTRACE方法代码实现
最新发布
06-07
// 准备PUT请求数据 var data = new { name = "John", age = 30 }; var jsonContent = JsonSerializer.Serialize(data); var content = new StringContent(jsonContent, Encoding.UTF8, "application/json"); // ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值