Wie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?

Der in Springboot integrierte Tomcat verbietet unsichere HTTP-Methoden 🎜#

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
   <http-method>DELETE</http-method>  
   <http-method>HEAD</http-method>  
   <http-method>OPTIONS</http-method>  
   <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

2. Spring Boot verwendet integriertes Tomcat

Es gibt kein Web.

@Configuration
public class TomcatConfig { 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
   @Override
   public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection collection = new SecurityCollection();
    //http方法
    collection.addMethod("PUT");
    collection.addMethod("DELETE");
    collection.addMethod("HEAD");
    collection.addMethod("OPTIONS");
    collection.addMethod("TRACE");
    //url匹配表达式
    collection.addPattern("/*");
    constraint.addCollection(collection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint );
    
    //设置使用httpOnly
    context.setUseHttpOnly(true);    
   }
        });
        return tomcatServletContainerFactory;
    } 
}

Unsichere HTTP-Methoden aktivieren

#Problembeschreibung: # 🎜🎜#

Webseiten, Skripte und Dateien können auf den Webserver hochgeladen, geändert oder gelöscht werden.

"Unsichere HTTP-Methoden aktiviert: OPTIONS /system HTTP/1.1Zulassen: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

Verwendung der oben genannten Methode:# 🎜🎜 #

Optionen, Head, Trace: werden hauptsächlich von Anwendungen verwendet, um Serverunterstützung und Netzwerkverhalten zu ermitteln und zu verfolgen;

#🎜 🎜#

Put and Post: Senden Sie das Dokument an den Server;

Delete: Zerstören Sie Ressourcen oder Sammlungen; und legen Sie Eigenschaften fest;
• #🎜 🎜#
  Kopieren und verschieben: Sammlungen und Ressourcen im Namespace-Kontext verwalten; Sperren und Entsperren: Überschreibschutz

• Offensichtlich der obige Vorgang Details können auf dem Webserver hochgeladen, geändert, gelöscht und andere Vorgänge ausgeführt werden, was eine Bedrohung für den Dienst darstellt, obwohl WebDAV über eine Berechtigungskontrolle verfügt. Eine Suche im Internet zeigt jedoch immer noch viele Angriffsmethoden, wenn Sie diese also nicht benötigen Methoden, es wird empfohlen, sie einfach direkt zu web.xml hinzuzufügen

<security-constraint>
        <web-resource-collection>
            <web-resource-name>disp</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>PATCH</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>

• Tag-Einführung:

• wird verwendet, um den Zugriff auf Ressourcen zu beschränken. # 🎜🎜#

dass allen Rollenbenutzern der Zugriff untersagt ist; #
• Geben Sie die Methoden an, die überprüft werden müssen

  # 🎜🎜#

Das obige ist der detaillierte Inhalt vonWie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!