tomcat 禁用不安全的http请求模式 .

最新推荐文章于 2021-08-24 08:13:12 发布
最新推荐文章于 2021-08-24 08:13:12 发布
阅读量368 收藏
点赞数
文章标签: java web.xml javascript ViewUI

  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。

     http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:

一、修改应用中的web.xml:

    第一步:修改web-app协议

     Xml代码     

     <?xml version="1.0" encoding="UTF-8"?>     

     <web-app xmlns="http://java.sun.com/xml/ns/j2ee"     

                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     

                      xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"     

                      version="2.4">  

  

    第二部:在应用程序的web.xml中添加如下的代码即可

    <security-constraint>     
    <web-resource-collection>     
       <url-pattern>/*</url-pattern>     
       <http-method>PUT</http-method>     
    <http-method>DELETE</http-method>     
    <http-method>HEAD</http-method>     
    <http-method>OPTIONS</http-method>     
    <http-method>TRACE</http-method>
    </web-resource-collection>     
       <auth-constraint>     
       </auth-constraint>     
    </security-constraint>     
    <login-config>     
        <auth-method>BASIC</auth-method>     
    </login-config>  

 

二、修改tomcat中conf下的web.xml

     步骤同上。

 

修改应用中的web.xml就针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。

 

 

在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下:

第一步:

在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数

Java代码   收藏代码
  1. <init-param>  
  2.     <param-name>readonly</param-name>  
  3.     <param-value>false</param-value>  
  4. </init-param>  

 

readonly参数默认是true,即不允许delete和put操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。

 

第二步:

从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,

Java代码   收藏代码
  1. <script type="text/javascript">  
  2. function getXMLHTTPRequest(){  
  3.     if (XMLHttpRequest)    {  
  4.         return new XMLHttpRequest();  
  5.     } else {  
  6.         try{  
  7.             return new ActiveXObject('Msxml2.XMLHTTP');  
  8.         }catch(e){  
  9.             return new ActiveXObject('Microsoft.XMLHTTP');  
  10.         }  
  11.     }  
  12. }  
  13. var req = getXMLHTTPRequest();  
  14. req.open('DELETE','http://localhost:8080/yours_web/test.html',false);  
  15. req.send(null);  
  16. document.write(req.responseText);  
  17.   
  18. </script>  

 document.write(req.responseText);这一句既是调用了Ajax,也是将删除的test.html返回回来,如果删除成功,那么应该看到的是404的效果。

 

 

 

另外对于web.xml配置参数的说明可参考:

http://www.blogjava.net/baoyaer/articles/107428.html

 

对于http深入了解可以参考:

http://blog.csdn.net/lyq5655779/article/details/7515284

weixin_34290000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HOWTO:在 Tomcat禁用 HTTP 方法
allway2的博客
07-21 1809
安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上禁用HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
tomcat禁用不必要的http方法
pursue.dreams的博客
08-20 1292
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
tomcat 禁用安全http请求方式
happyqwz的专栏
01-03 1万+
1:我的配置 web.xml(url下禁用的请求方式) [xml] view plain copy security-constraint>           web-resource-collection>               Your_Web_Project_Name                url-pattern>/
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
tanghongming2012的专栏
07-20 2104
简介  WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁
tomcat 禁用trace,put,head,post,delete 请求方式
热门推荐
samz5906的专栏
04-10 1万+
背景  项目中请求方式只有GET,POST请求,处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。实现 在tomcatweb.xml配置文件最后加上请求方式限制,配置如下,本次使用的tomcat8&lt;security-constraint&gt; &lt;web-resource-collection&gt; ...
Tomcat实战-调优方案.docx
01-07
在**参数最佳实践**中,通常建议禁用AJP连接器,因为AJP主要用于连接WEB服务器和Servlet容器,而在Nginx+Tomcat这样的架构中,HTTP反向代理已经足够,无需AJP。 最后,**JVM参数**的调整同样重要。正确配置JVM堆...
tomcat 基于redis session 共享 教程.docx
04-01
- 修改配置文件,禁用保护模式:`protected-mode no` #### 三、Tomcat配置 1. **添加依赖库** - 在Tomcat的`lib`目录下添加以下JAR包: - `commons-pool2-2.2.jar` - `jedis-2.5.2.jar` - `tomcat-redis-...
tomcat参数配置[参考].pdf
10-12
如果不希望Tomcat列出目录内容,可在`{tomcat_home}/conf/web.xml`中找到`<servlet>`元素,并将`listings`参数设为`false`,如下所示: ```xml ... <param-name>listings <param-value>false ... ```...
apache-tomcat-8.0.21部署配置说明.pdf
05-18
根据提供的文件信息,本文将详细解释Apache Tomcat 8.0.21的部署与配置过程,主要包括删除webapps目录、调整Tomcat内存配置、修改context.xml和server.xml文件等关键步骤。 ### 一、Apache Tomcat 8.0.21简介 ...
tomcat参数配置[借鉴].pdf
10-20
Tomcat是 Jakarta 项目的一部分,是一个开源的Web应用服务器,可以处理大量的HTTP请求。为了提高Tomcat的性能,需要对其进行合理的参数配置。本文将详细介绍Tomcat参数配置的方法和原理。 一、调整JVM内存位置 在...
tomcat禁止PUT等方法
03-29
tomcat禁止PUT等方法,记录下来方便以后使用
Tomcat启动了不安全的HTTP方法解决办法
liangpingguo的博客
10-27 3404
一、漏洞描述: 目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了 WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE,不关闭这些HTTP请求方法,是常见的web漏洞之一。
Tomcat禁用OPTIONS协议(禁用Web请求方式)
ClearLoveQ的博客
05-14 8337
有些Web服务器默认情况下开放了一些不必要的HTTP方法(如DELETE、PUT、TRACE、MOVE、COPY),这样就增加了受攻击面。 这时我们需要禁用一些方法,比如DELETE,PUT防止攻击者对服务器进行攻击 对于部署在tomcat上的应用来说,需要在tomcatweb.xml的配置文件中添加相应的配置,来达到禁用方法的目的: 步骤1:在web.xml文件中添加如下配置 &l...
WebDAV-tomcat 安全请求问题
beauty_魅影
08-26 799
WebDAV-tomcat 需求 由于网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。 2.问题复显 在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下: 第一步: 在Tomcatweb.xml 文件中配置org.apache.catalina.serv...
处理weblogic、tomcat关闭不安全http请求
Linuxprobe18的博客
08-24 1743
导读 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常见的为TRACE方法可以回显服务器收到的请求,主要用于测试或诊断,恶意攻击者可以利用该方法进行跨站跟踪攻击(即XST攻击),从而进行网站钓鱼、盗取管理员cookie等。 禁止不安全http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: Tom
Weblogic 禁用安全http请求
linfanhehe的专栏
11-07 1万+
网上搜了好多禁用http请求的方法,都是介绍tomcat容器下的相关配置,但是把web项目放到weblogic容器下会报错,无论如何也启动不起来,费了一番功夫找到一篇文章,问题解决 初次使用Weblogic,因为之前是在Jboss或tomcat上部署的工程,运行正常,但是在weblogic上安装部署的时候,就出现了一个常见的问题:如下   意思是无法加载web
weblogic、tomcat关闭不安全http请求
chongweimei5390的博客
08-05 1361
可以通过谷歌浏览器的插件Postman工具检测。 禁止不安全http请求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST请求。其中tomcat和weblogic部署解决方案都是在web.xml中添加配置文件,但格式有所差异,详情如下: 1)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值