文章詳情頁

Springboot 使用內置tomcat禁止不安全HTTP的方法

瀏覽：14日期：2023-02-26 18:25:28

Springboot 內置tomcat禁止不安全HTTP方法1、在tomcat的web.xml中可以配置如下內容

讓tomcat禁止不安全的HTTP方法

<security-constraint> <web-resource-collection><url-pattern>/*</url-pattern><http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> </web-resource-collection> <auth-constraint> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> </login-config>2、Spring boot使用內置tomcat

沒有web.xml配置文件，可以通過以下配置進行，簡單來說就是要注入到Spring容器中

@Configurationpublic class TomcatConfig { @Bean public EmbeddedServletContainerFactory servletContainer() {TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){ @Override public void customize(Context context) { SecurityConstraint constraint = new SecurityConstraint(); SecurityCollection collection = new SecurityCollection(); //http方法 collection.addMethod('PUT'); collection.addMethod('DELETE'); collection.addMethod('HEAD'); collection.addMethod('OPTIONS'); collection.addMethod('TRACE'); //url匹配表達式 collection.addPattern('/*'); constraint.addCollection(collection); constraint.setAuthConstraint(true); context.addConstraint(constraint );//設置使用httpOnly context.setUseHttpOnly(true); }});return tomcatServletContainerFactory; } }啟用不安全的HTTP方法問題描述：

可能會在Web服務器上上載、修改或刪除Web頁面、腳本和文件。

’啟用了不安全的HTTP方法：OPTIONS /system HTTP/1.1Allow: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

上述方法的用途：

Options、Head、Trace：主要由應用程序來發現和跟蹤服務器支持和網絡行為； Get：檢索文檔； Put和Post：將文檔提交到服務器； Delete：銷毀資源或集合； Mkcol：創建集合 PropFind和PropPatch：針對資源和集合檢索和設置屬性； Copy和Move：管理命名空間上下文中的集合和資源； Lock和Unlock：改寫保護

很顯然上述操作明細可以對web服務器進行上傳、修改、刪除等操作，對服務造成威脅。雖然WebDAV有權限控制但是網上一搜還是一大堆的攻擊方法，所以如果不需要這些方法還是建議直接屏蔽就好了。

解決方案：

在web應用中的web.xml加上如下內容

<security-constraint><web-resource-collection> <web-resource-name>disp</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <http-method>PATCH</http-method></web-resource-collection><auth-constraint></auth-constraint> </security-constraint>標簽介紹： <security-constraint>用于限制對資源的訪問； <auth-constraint>用于限制那些角色可以訪問資源，這里設置為空就是禁止所有角色用戶訪問； <url-pattern>指定需要驗證的資源 <http-method>指定那些方法需要驗證

以上為個人經驗，希望能給大家一個參考，也希望大家多多支持好吧啦網。

Spring

上一條：springboot實現攔截器的3種方式及異步執行的思考下一條：SpringBoot如何動態修改Scheduled(系統啟動默認執行,動態修改)

相關文章：

1. php模擬實現斗地主發牌2. Python random庫使用方法及異常處理方案3. 理解PHP5中static和const關鍵字4. spring acegi security 1.0.0 發布5. Vue封裝一個TodoList的案例與瀏覽器本地緩存的應用實現6. Vuex localStorage的具體使用7. jQuery 實現DOM元素拖拽交換位置的實例代碼8. .Net Core使用Coravel實現任務調度的完整步驟9. vue 使用localstorage實現面包屑的操作10. MyBatis中的JdbcType映射使用詳解

排行榜

					
					php模擬實現斗地主發牌
Docker 容器健康檢查機制
Python random庫使用方法及異常處理方案
.Net Core使用Coravel實現任務調度的完整步驟
Vuex localStorage的具體使用
jQuery 實現DOM元素拖拽交換位置的實例代碼
Vue封裝一個TodoList的案例與瀏覽器本地緩存的應用實現
MyBatis中的JdbcType映射使用詳解
idea給項目打war包的方法步驟
spring acegi security 1.0.0 發布
理解PHP5中static和const關鍵字
				