web工程禁用HTTP中PUT/ELETE等请求,防止恶意访问

最新推荐文章于 2023-12-28 10:32:10 发布
最新推荐文章于 2023-12-28 10:32:10 发布
阅读量547 收藏
点赞数
文章标签: web.xml
原文链接:http://www.cnblogs.com/lansetuerqi/p/9376817.html
版权 
在web.xml最后加入如下节点
 <!--禁用PUT/DELETE请求  -->
<security-constraint>  
  <web-resource-collection>  
	<url-pattern>/*</url-pattern>  			
	<http-method>PUT</http-method>  
	<http-method>DELETE</http-method>
  </web-resource-collection>  
  <auth-constraint>  
  </auth-constraint>  
</security-constraint>

  

转载于:https://www.cnblogs.com/lansetuerqi/p/9376817.html

weixin_30426957
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jetty禁用http put和delete等方法的方式
shuipinglp的专栏
10-30 2106
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
monta-palavras:Elete um testepráticopara o processo seletivo do Letras.com.br
03-31
"Elete um testeprático"在葡萄牙语意味着“创建一个实践测试”,暗示我们需要构建一个实际操作的题目或者项目来评估应聘者的技能。 标签 "PHP" 明确指出了该任务的核心技术,即PHP(Hypertext Preprocessor),...
不同层面禁用PUT、DELETE、HEAD、TRACE、OPTIONS请求方式
朱晓龙的博客
05-14 7197
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
PUT/DELETE 为何成了 HTTP 协议的不安全方法
weixin_46099455的博客
08-28 6680
由于 Nginx 在设计时,或许是为了减轻小白的上手难度,在开启 WebDAV 时没有强制要求用户必须配置访问认证,这导致了某些 SB 用户在公网上开启了 WebDAV 而没有进行认证配置,从而导致了安全问题。导致服务器上的数据泄露或获取服务器权限。总结: PUT/DELETEHTTP 协议是否安全主要跟代码逻辑相关,并非是使用了这种方法就造成访问不安全,由于代码是运行在容器,如果容器配置不当,会导致一些安全风险,安全工程师并不理解代码背后的逻辑,从而将 PUT、DELETE 给一刀切了。...
通过nginx配置防御web漏洞
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-28 1910
# 相关安全漏洞响应头 # 检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用 add_header X-Content-Type-Options nosniff; # 检测到目标 X-XSS-Protection响应头缺失 add_header X-XSS-Protection "1; mode=block"; # 检测到目标 Content-Security-Policy响应头缺失 add_head
不安全的HTTP方法
冰雨蝶皇的博客
07-17 9358
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:不安全的HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE和CONNECT WebDAV (Web-based Dist...
go-api-basic:RESTful API模板(使用Go构建)-正在进行
02-06
这是一个演示API,因此“生意”的意图是支持基本的CRUD(C reate,R EAD,U PDATE,d elete)的电影数据库操作。 最低要求 您需要安装Go和PostgreSQL才能运行这些API。 数据库设置 本地数据库设置 你本地安装的...
api-node-crud-express
02-07
这个项目可能涵盖了创建(Create)、读取(Read)、更新(Update)和删除(Delete)数据的基本操作,这些都是 Web 开发的常见任务。在 JavaScript 的环境下,Node.js 提供了一个强大的服务器端运行环境,而 ...
简单的显示
01-07
找高手帮我解决一下(页面显示不出数据)<技术:spring,struts,hibernate> 数据库的名称 hospital username:hospital password: hospital
QA_Project1
02-08
看板板#3,项目目标要创建基于MySQL服务器,Python和Flask的Web应用程序,它们可以接受用户的输入/请求以创建,检索,更新和删除数据库的记录。4,项目结构下图显示了该项目的结构。5.ER的数据库图该项目的数据库...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
tomcat禁用PUT,DELETE等一些不必要的HTTP方法
热门推荐
李卓书
05-27 1万+
前言 在项目进行渗透测试的时候,我们收到了第三方测试报告,要求我们禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP请求方法,降低可攻击性。 解决办法 在tomcat的web.xml设置一些参数即可: 可能web.xml以前就有一些代码,注释掉,换成我的,如果报错的话就百度下,应该很好解决。我把代码粘贴到下面,方便复制 <web-app xmlns="h...
WEB项目禁止外部访问某一文件
YanQiuXiang
10-20 3634
web.xml 追加    disable_conf *.xml *.log *.dll
HTTP--八种请求方式
Iam8600的博客
09-02 332
                                      http的八种请求方式 1、OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法; 2、HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头的元信息。; 3、GET 向特定的资源发出请求。注意:GET方法不应当被用...
记录一下http协议的内容
qq_39385706的博客
10-28 911
HTTP简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据(HTML 文件, 图片文件, 查询结果等)。 HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2107
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
(d)elete and replace, (a)bort, (b)ackup and replace, (s)kip怎么选
07-27
根据提供的引用内容,我们无法确定这些选项是在什么上下文使用的。请提供更多的背景信息,以便我们能够更好地回答你的问题。 #### 引用[.reference_title] - *1* [replace之$1、$2等]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值