Tomcat java web 禁用HTTP 方法

最新推荐文章于 2022-11-17 10:32:45 发布
最新推荐文章于 2022-11-17 10:32:45 发布
阅读量8.7k 收藏 4
点赞数
分类专栏: 开发问题总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangtaoxiangtao/article/details/51888138
版权

Tomcat java web 禁用HTTP 方法


配置tomcat,conf/web.xml 或 应用的web.xml

 <security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>
此方法,适用于静态资源和实现了doGet、doPost方法的servelt类的服务。一般现代web应用大多采用Spring MVC框架,DispatchServelet的父类重org.springframework.web.servlet.FrameworkServlet重写了javax.servlet.http.HttpServlet的doGet、doPost、doPut、doDelete、doOptions、doTrace,对应HTTP 的标准方法。

DispatchServelet处理每一个请求时,由javax.servlet.http.HttpServlet的service方法进行处理,因此,HTTP的标准方法都会被处理。单纯的配置web.xml无法禁用掉HTTP方法。

Spring MVC 禁用HTTP OPTIONS方法

在应用的web.xml中修改spring mvc的配置: 

<servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>s2jh.biz.util.CustomerDispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>/WEB-INF/spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
        <async-supported>true</async-supported>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>



重写DispatcherServlet的doOptions方法: 

/**
 * 自定义 Spring MVC DispatcherServlet 
 * Disabled HTTP OPTIONS METHOD
 */
public class CustomerDispatcherServlet extends DispatcherServlet {

	private static final Logger LOGGER = LoggerFactory.getLogger(CustomerDispatcherServlet.class);
	
	
	private static final long serialVersionUID = 8018418118826214565L;

    private static final ResourceBundle lStrings = ResourceBundle.getBundle("javax.servlet.http.LocalStrings");
    
    private static final String METHOD_OPTIONS = "OPTIONS";
    
	@Override
	protected void doOptions(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		methodNotAllowed(METHOD_OPTIONS, response);
		LOGGER.warn("HTTP OPTIONS DISABLED.");
	}
	
	/**
	 * DISABLED HTTP METHOD
	 * 
	 * @param methodName
	 * @param response
	 * @throws IOException
	 */
	private void methodNotAllowed(String methodName, HttpServletResponse response) throws IOException { 
		 String errMsg = lStrings.getString("http.method_post_not_supported");
         Object[] errArgs = new Object[1];
         errArgs[0] = methodName;
         errMsg = MessageFormat.format(errMsg, errArgs);
         
         response.sendError(HttpServletResponse.SC_METHOD_NOT_ALLOWED, errMsg);
	}
	
}


使用命令测试: 

curl -v -X OPTIONS http:/localhost:8080/test.htm




jsrush
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
tomcat下的ssl双向认证
cxb23的专栏
11-01 521
目标: 用户使用浏览器访问服务器,能认证服务器真实可信。同时服务器能认证用户的身份可信。要达到可信,则必要服务器的密钥库中存在可信的用户证书。浏览器通过ca证书验证服务器的证书。 证书生成:  用openssl和java平台的keytool工具便可充当一个私人的ca中心,为服务器生成一个jks格式的密钥库,为客户端浏览器生成浏览器的证书。然后将浏览器证书导入服务器的密钥库作为可信任的库。
tomcat怎么用不需要的http方法
java coding girl
04-03 399
tomcat怎么用不需要的http方法
web服务器启用了不安全的HTTP方法(转)
傲慢的上校的专栏
11-17 683
web 安全 不安全的HTTP方法
WEB漏洞-关闭不安全的HTTP方法
踮脚敲代码
12-19 6388
一.测试过程 通过手工测试,站点启动了不安全的HTTP方法漏洞,详细测试如下: OPTIONS /main/login HTTP/1.1 Host: xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language
tomcat用不必要的http方法
pursue.dreams的博客
08-20 1280
1、打开tomcat/conf/web.xml文件 加入以下配置,将之前的web-app标签进行覆盖 <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2
Java实现拦截HTTP请求的几种方式
白玉杰的博客
03-25 4253
Java的服务端开发当中,拦截器是很常见的业务场景,这里对Java开发当中几种常见的拦截器的实现方式进行记录和分析。 一:实现javax.servlet.Filter接口(使用过滤器方式拦截请求) import org.springframework.stereotype.Component; import javax.servlet.*; import java.io.IOExceptio...
TomcatJava.Web开发技术详解_tomcatjava_
10-02
标题"TomcatJava.Web开发技术详解_tomcatjava_"表明了本文档将深入探讨Tomcat服务器以及使用Java进行Web应用程序开发的相关技术。Java.Web开发主要涉及使用Java语言来构建动态、交互式的Web应用程序,而Tomcat是...
关于Tomcat的AJP端口用.docx
04-08
AJP(Apache JServ Protocol)是Tomcat与Apache HTTP服务器之间的一种通信协议,用于提高Web应用的性能。然而,AJP由于其特性,可能存在一定的安全风险,因此在某些情况下,我们可能需要用AJP端口以增强系统安全性...
tomcat同时使用httphttps访问的配置方法
09-30
在IT行业中,Tomcat是一个广泛使用的开源Java Servlet容器,它为执行Java web应用程序提供了一个平台。本文将详细讲解如何配置Tomcat服务器,使其能够同时支持HTTPHTTPS协议,以满足不同场景下的安全需求。 首先...
Web项目-使用Tomcat部署Web项目实战.zip
最新发布
03-10
在IT行业中,Web项目的部署是开发过程中的重要环节,而Tomcat作为一款广泛使用的开源Java Servlet容器,常常被用于部署Web应用程序。本实战教程将详细讲解如何利用Tomcat来部署Web项目,帮助开发者掌握这一核心技能...
Tomcat&Web-java考试习题.pdf
09-27
其中,`session`对象可以在整个Web应用范围内共享,其类型为`javax.servlet.http.HttpSession`。 错误的说法是B)`<%-- This comment will not be visible in the page source -->`,因为这表示一个JSP注释,它不会...
Tomcat SSL解决方案
03-29
里面包含可执行的.bat文件和linux执行文件,生成文件
4.2以下cas server去掉https验证,tomcat改为https验证
weixin_33400820的博客
01-31 1260
4.2以下cas server去掉https验证 cas默认是采用https模式的,我们没有配置证书,所以要么配置证书,要么取消https的过滤,让http协议也能访问。 我们这里取消https的配置,让http也能访问。 需要修改三个地方的配置(针对4.0.0版本,其他版本的话第一处必改,其他的看看还有没有带有cookie的文件名) 修改一deployerConfigContext.x...
TOMCAT配置HTTPS和SSL并HTTP请求强转为HTTPS请求
u012129031的专栏
12-21 3953
转载自:https://my.oschina.net/uut886/blog/164482 1、生成keystore文件 keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore 2、取消注释  tomcat/conf/server.xml ,并指定安全证书位置和密
解决80端口被system占用 http服务 开启http服务
Liang_Ren_i的博客
03-08 7111
一 查询端口被那个程序在占用 1:)开始==》运行==》cmd,或者是window+R组合键,调出命令窗口 2:)输入命令:netstat -aon|findstr 80,列出所有80端口的情况。可以看到pid是4。(如下如图) 3:)在任务管理器查看pid对应的程序是哪个:(如下如图) 二 http服务(解决端口占用system) 1:)cmd 依次运行以下 ...
java止不需要的HTTP 方 法
charsli的专栏
10-30 722
项目安全扫描,报告: 启用了不安全的HTTP 方法 安全风险: 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。 可能原因: Web 服务器或应用程序服务器是以不安全的方式配置的。 修订建议: 如果服务器不需要支持WebDAV,请务必用它,或止不必要的HTTP 方法WebDAV (Web-based Distribut...
HOWTO:在 TomcatHTTP 方法
allway2的博客
07-21 1768
在安全相关扫描中出现的一个常见项目是网站或Web应用程序中允许的HTTP方法。对于我们这些使用ApacheTomcat而不是像Apache或IIS这样的前端Web服务器来运行我们的网站的人来说,很好地理解安全约束是如何工作的将是至关重要的。安全约束虽然不如ApacheWeb服务器中的那些完整,但却是保护Web应用程序的一种非常有用的方法。本HOWTO专注于在指定的URI上HTTP方法,但您可以在安全约束方面做更多事情,未来的文章将介绍这些内容。...
使用Apache与Tomcat建立Web站点.doc
02-21
在本文档中,主要讨论的是如何在Windows平台中使用Apache Web服务器与Tomcat服务器建立Web站点。首先,介绍了Apache和TomcatWeb服务器市场中的地位。Apache是最流行的Web服务器之一,支持多种操作系统,以其高效、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值