tomcat 安全记述

最新推荐文章于 2021-03-20 07:32:02 发布
最新推荐文章于 2021-03-20 07:32:02 发布
阅读量61 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/9199771/blog/2961292
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

<servlet>
        <servlet-name>jsp</servlet-name>
        <servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>
        <init-param>
            <param-name>fork</param-name>
            <param-value>false</param-value>
        </init-param>
        <init-param>
            <param-name>xpoweredBy</param-name>
            <param-value>false</param-value>
        </init-param>
        <load-on-startup>3</load-on-startup>
    </servlet>


<servlet-mapping>
        <servlet-name>jsp</servlet-name>
        <url-pattern>*.jsp</url-pattern>
        <url-pattern>*.jspx</url-pattern>
    </servlet-mapping>

在tomcat的web.xml中注释掉 这两段 tomcat就会不再执行jsp代码了 彻底杜绝jsp类型的webshell,对于那种外部容器类的tomcat是很好的缓解方案

Jasper是tomcat中使用的JSP引擎,文中阻止org.apache.jasper.servlet.JspServlet就是为了阻止jsp的映射和解析

我们可以对conf下的xml进一步修改只让他支持GET POST两个动词

    <security-constraint>  
        <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
            <http-method>HEAD</http-method>  			
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>
        </web-resource-collection>  
        <auth-constraint>  
        </auth-constraint>  
    </security-constraint>    
 
    <servlet-mapping>
        <servlet-name>default</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

可以先寻找default再在上面如此设置

转载于:https://my.oschina.net/9199771/blog/2961292

weixin_34138056
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat源码阅读之Jasper(JSP解释器)详解
five-five
05-30 764
Jasper JSP解释器 详解 JSP编译方式运行时编译编译过程JspServlet 处理流程图:编译结果预编译(Apache Ant)JSP编译原理代码分析 本文构建好的Tomcat(含注释)gitee地址:点击 主要核心一定要是自己去debug源码 对于基于JSP 的web应用来说,我们可以直接在JSP页面中编写 Java代码,添加第三方的标签库,以及使用EL表达式。但是无论经过何种形式的处理,最终输出到客户端的都是标准的HTML页面(包含js ,css…),并不包含任何的java相关的语法。 也
详解DefaultServlet与JspServlet
谷哥的小弟
06-14 1028
平常我们在开发中编写完Servlet之后都会在web.xml配置文件对其进行配置以便响应相关请求。可是,在客户端对html、jsp、css的访问算请求么?或者通过链接访问应用内的资源文件算请求么?或者对于jsp文件的访问算是请求么?算!可是,对于类似的请求为什么我们什么配置都没做却可以正常访问呢?
Web容器默认的servlet
weixin_55891090的博客
03-20 339
文章目录1.1 各类Web服务器默认servlet名称1.2 查看默认servlet1.3 tomcat解析JSP对应的servlet 1.1 各类Web服务器默认servlet名称 Web容器 默认servlet名称 Tomcat, Jetty, JBoss, and GlassFish default Google App Engine _ah_default Resin resin-file WebLogic FileServlet WebSphere SimpleFi
Servlet配置中servlet-mapping的配置问题
热门推荐
wanhongbo029的博客
01-02 5万+
Java Servlet Specification 3.1 https://jcp.org/aboutJava/communityprocess/final/jsr340/index.html 专门使用一章的内容讲请求和Servlet之间的映射,下面将翻译该章的内容。 将请求映射到对应的Servlet 本章主要描述web容器怎样将客户端请求映射到对应的Servlet上。 12.1关于U...
攻击JavaWeb应用[8]-后门篇
Exploit的小站~
03-27 2071
0x00 背景 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少。在这里我分享几种比较有意思的JavaWeb后门给大家玩。 0x01 jspx后门 在如今的web应用当中如果想直接传个jsp已经变得比较难了,但是如果只限制了asp、php、jsp、aspx等这些常见的后缀应该怎样去突破呢?我在读tomcat的配置文件的时候看到jsp和jspx都是由org.apache
tomcat安全加固手册
最新发布
05-09
### Tomcat安全加固手册知识点详解 #### 一、Tomcat简介与重要性 Tomcat作为Apache软件基金会(Apache Software Foundation)Jakarta项目的核心组件之一,由Apache、Sun及其他多个机构和个人共同开发完成。得益于...
Tomcat安全加固.txt
06-17
Tomcat安全加固.txt
Tomcat 安全加固
02-21
安全加固,Tomcat是重灾区。所以整理下Tomcat安全加固。升级到最新稳定版,出于稳定性考虑,不建议进行跨版本升级.
Tomcat安全部署配置手册
03-24
### Tomcat安全部署配置手册 #### 一、安全性配置详解 **1. 关闭服务器端口** 在Tomcat的`server.xml`配置文件中,默认包含了一行代码用于指定关闭服务器的端口号以及对应的关闭命令。例如: ```xml ``` 这行...
TOMCAT安全加固手册.docx
03-03
TOMCAT安全加固手册
JSP 解析引擎 Jasper
qq_37834488的博客
04-20 996
Tomcat 配置文件路径找起:apache-tomcat-8.0.39\conf 下 web.xml 文件,打开后, 可以看到如下配置: <!-- The mappings for the JSP servlet --> <servlet-mapping> <servlet-name>jsp</servlet-n...
Web容器中DefaultServlet详解
qq_30920821的博客
10-24 2万+
Web容器中DefaultServlet详解一、什么是defaultServlet  我们以最熟悉的Tomcat服务器为例。我们都知道Jsp和servlet都需要web容器才能运行。但是实际上呢我们的web应用中可以没有任何servlet或者jsp(至少表面上是这样的)只需要一个web.xml,设置在servlet 3.0中,这个也可以省略。但是我们同样可以通过链接来访问应用内的资源文件。例如.jp
tomcat下jsp页面显示不完全调查&jsp servlet&默认Web.xml配置
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
02-10 315
问题:系统访问tomcat页面*.jsp时,发现显示的结果页面不完全 相关类调用流程:当struts返回actionForward后,[color=red]RequestProcessor[/color]会取到actionForward对应的jsp路径,然后调用[color=red]RequestDispatcher[/color] forward 到jsp页面去,[color=red]to...
tomcat报错请求的jsp页面代码超过65535字节限制
lihefei_coder的博客
10-18 4292
打开tomcat Servers的web.xml配置文件 找到这段代码 &amp;lt;servlet&amp;gt; &amp;lt;servlet-name&amp;gt;jsp&amp;lt;/servlet-name&amp;gt; &amp;lt;servlet-class&amp;gt;org.apache.jasper.servlet.JspServlet&amp;lt;/servlet-class&amp
web.xml配置中的<mime-mapping>
09-20 7503
doc application/msword xls application/msexcel pdf application/pdf zip application/zip rar application/rar txt application/txt chm application/mshelp mp3 audio/x-mpeg 常见的MIME类型
Spring Boot 嵌入式Web容器——传统Servlet容器(上)
mosterRan的博客
10-13 410
传统Servlet容器 Jetty Eclipse Jetty:Jetty的Web服务提供http服务和servlet容器并且支持动态和静态两种内容,从jetty-7开始将jetty的web服务和相关核心放到了Eclipse上面 Jetty提供的功能: 异步的HttpServer 标准Servlet容器 webSocket服务器 http/2服务 异步Client(http/1.1,http/2...
JavaWeb-Servlet(三)Servlet的一些细节
刘伟佳的博客
05-20 200
Servlet与线程安全 因为一个类型的Servlet只有一个实例对象,那么就有可能会显示出一个servlet同时处理多个请求,那么servlet是否为线程安全的呢?答案是:“不是线程安全的”。这说明servlet的工作效率很高,但是也存在线程安全问题! 所以我们不应该在servlet中随便的创建成员变量,因为可能会存在一个线程对这个成员变量进行写操作,另一个线程对这个成员变量进行读操作。 所以我...
Tomcat服务器Day03-Jasper引擎
攻城狮Chova的博客
11-06 461
Jasper引擎基本概念编译方式运行时编译编译过程 基本概念 对于基于JSP的Web应用,可以在JSP页面直接编写Java代码,添加第三方库,使用EL表达式.但是最终输出到客户端浏览器的都是标准的HTML页面,包括js,css等等.并不包含Java相关的语法 .JSP可以看作是一种运行在服务器端的脚本,最终以HTML页面方式响应给客户端 使用Tomcat中的Jasper引擎将jsp文件转换为HTML页面文件: JSP本质上是一个Servlet Tomcat使用Jasper对JSP语法进行解析,生成Ser
Tomcat安全防护策略与实践
"Tomcat安全防护是确保基于Tomcat运行的Web应用程序免受恶意攻击的关键环节。无论你的应用规模大小,安全防护都是不容忽视的。本章主要探讨如何加强Tomcat安全性,但要明确,绝对的安全是不存在的,真正的目标是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值