springboot禁止不安全请求

最新推荐文章于 2024-05-28 19:44:41 发布
最新推荐文章于 2024-05-28 19:44:41 发布
阅读量4.3k 收藏 8
点赞数 1
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45333124/article/details/115086679
版权

SpringBoot Tomcat 安全配置 HTTP请求 禁用方法
关键词由CSDN通过智能技术生成

一、项目场景:

在项目测试阶段,tomcat需要禁止一些不安全的请求,比如PUT、TRACE、OPTIONS等,这里自定义springboot中的tomcat配置类,实现禁用。

二、 解决方法:

2.1、 外置的tomcat可以直接修改config.xml文件。

2.2、1.X版本的springboot

@Configuration
public class TomcatConfig {
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {   //禁用http 不安全请求
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("TRACE");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                collection.addMethod("CONNECT");
                //设置使用httpOnly
                context.setUseHttpOnly(true);
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcat;
    }
 }

2.3、springboot 2.X版本的

@Configuration
public class TomcatConfig {
	@Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addPattern("/ywyydsj/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("PATCH");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                constraint.addCollection(collection);
                constraint.setAuthConstraint(true);
                context.addConstraint(constraint);
                context.setUseHttpOnly(true);
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcatServletContainerFactory;
    }
}

2.4、在配置application.yml时,设置port-head(我用的时候,不起作用)

  spring:
     tomcat:
        port-header: HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND
没时间的李白
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springboot使用undertow服务器禁用TRACE请求
qq_16171201的博客
02-21 1225
springboot使用undertow服务器禁用TRACE请求
【CVE-2003-1567】springboot2,禁用TRACE和TRACK方法
xshnj的博客
07-06 1502
最近线上爆出CVE-2003-1567漏洞,经过一番查找,发现大多数介绍的都是springboot1如何禁用TRACE和TRACK方法,最后自己折腾出来了,分享一下吧`
Spring Boot异常处理静止trace
08-25
主要介绍了Spring Boot异常处理静止trace,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
最新发布
mekings13的博客
05-28 634
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 2711
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
springboot 自定义拦截器 防止恶意请求
a2986467829的博客
06-22 632
Springboot 自定义拦截器防止恶意请求
Springboot解决不安全请求
01-05 718
禁止使用GET、POST以外的HTTP方法,如PUT、DELETE、TRACE等。修改 Springboot 内置 Tomcat 的配置。项目启动可以看到 其他方法已被封禁。
Springboot过滤器禁止ip频繁访问功能实现
08-19
"Springboot过滤器禁止ip频繁访问功能实现" ...Springboot过滤器禁止ip频繁访问功能实现可以防止恶意ip的访问,保护服务器的安全。这个功能可以在我们的Springboot项目中进行实现,保护我们的服务器免受恶意攻击。
springboot 跨域请求
02-05
由于浏览器的安全策略限制,这种请求默认是被禁止的,除非服务器明确允许。 Spring Boot实现跨域请求主要涉及以下几个步骤: 1. 引入相关依赖: 在`pom.xml`文件中添加Spring Web依赖,因为CORS功能是基于Spring ...
Springboot中登录后关于cookie和session拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到Cookie和Session两种技术,它们都是用于用户身份验证和会话管理的重要手段。...同时,理解拦截器、过滤器和SSO的概念对于构建安全、高效的Web应用至关重要。
springboot配置允许跨域访问代码实例
08-25
这种行为在浏览器中是被禁止的,以免出现安全问题。 SpringBoot 配置跨域访问 要配置SpringBoot允许跨域访问,需要创建一个配置类,继承自@Configuration注解。下面是一个简单的示例代码: ```java import org....
springboot-security:Spring Boot安全
05-15
9. **异常处理**:Spring Security 自动将安全相关的异常转换为 HTTP 响应状态码,如 401(未授权)和 403(禁止访问)。 10. **测试支持**:Spring Security 提供了测试支持,可以方便地在单元测试和集成测试中...
如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK
热门推荐
锐意工作室
09-11 1万+
文章目录如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK前言测试应用是否允许HTTP TRACE禁用Spring Boot内置的Undertow的HTTP TRACE/TRACK参考文档 如何禁用Spring Boot内置Undertow的HTTP TRACE/TRACK 前言 因为安全原因,需要禁用Spring Boot内置Web服务器的HTTP TRACE/TRACK方法。 Spring Boot版本:spring-boot:2.2.2.RELEASE 内置Web服
springboot禁用内置Tomcat的不安全请求方法
菜狗小仪的博客
11-15 2025
原由:安全组针对接口测试提出的要求,须要关闭不安全请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。 用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html tomcat传统形式经过配置web.xml达到禁止安全的http方法 <security-constraint>
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 9766
远端WWW服务支持TRACE请求
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
coder_afly的博客
02-03 2771
springboot项目漏洞“远端WWW服务支持TRACE请求”解决
springboot springcloud gateway 中的 undertow 禁止接收trace请求(修复漏洞)
Java技术干货
04-19 631
修复trace请求漏洞
工具研究:(二)Nginx及spring boot禁用OPTIONS TRACE安全方法
热水钟博客
01-11 1万+
一、背景 为了满足360安全检测的要求,由于系统要在政府网的云服务器上运行,360与政府均有合作,上线前必须获得360的安全认证,方可上线。 二、360安全要求,尽量用get和post的api的应用,禁用OPTIONS ,即对put,delete,tract等最不要使用,他们认为不安全。 三、nginx中的配置: server { listen ...
springboot 禁止CPRS
05-26
如果您想禁止Spring Boot应用程序的跨站点请求伪造(CSRF)防护,则可以在您的应用程序的配置类中使用以下代码: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable(); } } ``` 这将完全禁用Spring Boot应用程序的CSRF防护。但是请注意,这可能会使您的应用程序更易受攻击,因此请确保您已经考虑了其他安全措施。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值