Heim > Java > javaLernprogramm > Wie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?

Wie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?

WBOY
Freigeben: 2023-05-12 11:49:05
nach vorne
2216 Leute haben es durchsucht

Der in Springboot integrierte Tomcat verbietet unsichere HTTP-Methoden 🎜#
<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
   <http-method>DELETE</http-method>  
   <http-method>HEAD</http-method>  
   <http-method>OPTIONS</http-method>  
   <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>
Nach dem Login kopieren

2. Spring Boot verwendet integriertes Tomcat

Es gibt kein Web.
@Configuration
public class TomcatConfig { 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
   @Override
   public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection collection = new SecurityCollection();
    //http方法
    collection.addMethod("PUT");
    collection.addMethod("DELETE");
    collection.addMethod("HEAD");
    collection.addMethod("OPTIONS");
    collection.addMethod("TRACE");
    //url匹配表达式
    collection.addPattern("/*");
    constraint.addCollection(collection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint );
    
    //设置使用httpOnly
    context.setUseHttpOnly(true);    
   }
        });
        return tomcatServletContainerFactory;
    } 
}
Nach dem Login kopieren

Unsichere HTTP-Methoden aktivieren

#Problembeschreibung: # 🎜🎜#

Webseiten, Skripte und Dateien können auf den Webserver hochgeladen, geändert oder gelöscht werden.

"Unsichere HTTP-Methoden aktiviert: OPTIONS /system HTTP/1.1Zulassen: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

Verwendung der oben genannten Methode:# 🎜🎜 #

Optionen, Head, Trace: werden hauptsächlich von Anwendungen verwendet, um Serverunterstützung und Netzwerkverhalten zu ermitteln und zu verfolgen;

#🎜 🎜#

Put and Post: Senden Sie das Dokument an den Server;

    Delete: Zerstören Sie Ressourcen oder Sammlungen; und legen Sie Eigenschaften fest;
  • #🎜 🎜#

    Kopieren und verschieben: Sammlungen und Ressourcen im Namespace-Kontext verwalten; Sperren und Entsperren: Überschreibschutz
  • Offensichtlich der obige Vorgang Details können auf dem Webserver hochgeladen, geändert, gelöscht und andere Vorgänge ausgeführt werden, was eine Bedrohung für den Dienst darstellt, obwohl WebDAV über eine Berechtigungskontrolle verfügt. Eine Suche im Internet zeigt jedoch immer noch viele Angriffsmethoden, wenn Sie diese also nicht benötigen Methoden, es wird empfohlen, sie einfach direkt zu web.xml hinzuzufügen
  • <security-constraint>
            <web-resource-collection>
                <web-resource-name>disp</web-resource-name>
                <url-pattern>/*</url-pattern>
                <http-method>PUT</http-method>
                <http-method>DELETE</http-method>
                <http-method>HEAD</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
                <http-method>PATCH</http-method>
            </web-resource-collection>
            <auth-constraint></auth-constraint>
        </security-constraint>
    Nach dem Login kopieren
  • Tag-Einführung:

  • wird verwendet, um den Zugriff auf Ressourcen zu beschränken. # 🎜🎜#

  • dass allen Rollenbenutzern der Zugriff untersagt ist; #
  • Geben Sie die Methoden an, die überprüft werden müssen

    # 🎜🎜#

  • Das obige ist der detaillierte Inhalt vonWie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:yisu.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage