Springboot は組み込みの Tomcat をどのように使用して安全でない HTTP を禁止しますか
Springboot の組み込み Tomcat は安全でない HTTP メソッドを禁止します
1. Tomcat の web.xml で次の内容を設定できます
Tomcat に安全でない HTTP メソッドを禁止させます
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>2. Spring Boot は組み込みの tomcat を使用します
web.xml 設定ファイルはありません。次の設定で設定できます。簡単に言うと、Spring コンテナに注入されます
@Configuration
public class TomcatConfig {
@Bean
public EmbeddedServletContainerFactory servletContainer() {
TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
@Override
public void customize(Context context) {
SecurityConstraint constraint = new SecurityConstraint();
SecurityCollection collection = new SecurityCollection();
//http方法
collection.addMethod("PUT");
collection.addMethod("DELETE");
collection.addMethod("HEAD");
collection.addMethod("OPTIONS");
collection.addMethod("TRACE");
//url匹配表达式
collection.addPattern("/*");
constraint.addCollection(collection);
constraint.setAuthConstraint(true);
context.addConstraint(constraint );
//设置使用httpOnly
context.setUseHttpOnly(true);
}
});
return tomcatServletContainerFactory;
}
}安全でない HTTP メソッドを有効にする
問題の説明:
Web ページ、スクリプト、およびファイルが Web サーバー上でアップロード、変更、または削除される可能性があります。
「安全でない HTTP メソッドが有効になっています: OPTIONS /system HTTP/1.1Allow: HEAD、PUT、DELETE、TRACE、OPTIONS、PATCH
上記のメソッドの使用:
オプション、ヘッド、トレース: 主にサーバー サポートとネットワーク動作を検出および追跡するためにアプリケーションによって使用されます;
Get: ドキュメントを取得します;
Put および Post: ドキュメントをサーバーに送信します;
Delete: リソースまたはコレクションを破棄します;
Mkcol:コレクションの作成
PropFind および PropPatch: リソースとコレクションのプロパティを取得および設定します;
コピーと移動: 名前空間コンテキストでのコレクションとコレクションの管理リソース;
ロックとロック解除: 上書き保護
上記の操作の詳細により、アップロード、変更、削除などができることは明らかです。 Web サーバーへの脅威 サービスへの脅威 WebDAV には権限制御がありますが、インターネットで検索すると依然として多くの攻撃方法が表示されるため、これらの方法が必要ない場合は、それらを直接ブロックすることをお勧めします。 #解決策:
Web アプリケーションの web.xml に次の内容を追加します
<security-constraint>
<web-resource-collection>
<web-resource-name>disp</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
<http-method>PATCH</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>タグの導入:
##-
は、リソースにアクセスできるロールを制限するために使用されます。ここで空に設定すると、すべてのロール ユーザーがアクセスを禁止されます。 -
検証する必要があるリソースを指定します -
検証する必要があるメソッドを指定します確認する - #
以上がSpringboot は組み込みの Tomcat をどのように使用して安全でない HTTP を禁止しますかの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7481
15
1377
52
77
11
19
33
Tomcat に jar プロジェクトをデプロイする方法
Apr 21, 2024 am 07:27 AM
JAR プロジェクトを Tomcat にデプロイするには、次の手順に従います。 Tomcat をダウンロードして解凍します。 server.xml ファイルを構成し、ポートとプロジェクトのデプロイメント・パスを設定します。 JAR ファイルを指定されたデプロイメント パスにコピーします。 Tomcatを起動します。指定された URL を使用して、デプロイされたプロジェクトにアクセスします。
Tomcat サーバーへの外部ネットワーク アクセスを許可する方法
Apr 21, 2024 am 07:22 AM
Tomcat サーバーが外部ネットワークにアクセスできるようにするには、以下を行う必要があります。 外部接続を許可するように Tomcat 構成ファイルを変更します。 Tomcat サーバー ポートへのアクセスを許可するファイアウォール ルールを追加します。 Tomcat サーバーのパブリック IP を指すドメイン名を指す DNS レコードを作成します。オプション: リバース プロキシを使用して、セキュリティとパフォーマンスを向上させます。オプション: セキュリティを強化するために HTTPS を設定します。
Tomcatのインストールディレクトリはどこにありますか?
Apr 21, 2024 am 07:48 AM
Tomcat インストール ディレクトリ: デフォルト パス: Windows: C:\Program Files\Apache Software Foundation\Tomcat 9.0macOS:/Library/Tomcat/Tomcat 9.0Linux:/opt/tomcat/tomcat9 カスタム パス: インストール中に指定できます。インストール ディレクトリを見つけます。whereis またはlocateコマンドを使用します。
Tomcat で複数のプロジェクトをデプロイする方法
Apr 21, 2024 am 09:33 AM
Tomcat を介して複数のプロジェクトをデプロイするには、プロジェクトごとに webapp ディレクトリを作成してから、次の操作を行う必要があります。 自動デプロイ: webapp ディレクトリを Tomcat の webapps ディレクトリに配置します。手動デプロイメント: Tomcat のマネージャー アプリケーションにプロジェクトを手動でデプロイします。プロジェクトがデプロイされると、そのデプロイメント名 (例: http://localhost:8080/project1) でアクセスできるようになります。
Tomcatでの同時接続数を確認する方法
Apr 21, 2024 am 08:12 AM
Tomcat の同時接続数を確認する方法: Tomcat Manager ページ (http://localhost:8080/manager/html) にアクセスし、ユーザー名とパスワードを入力します。左側のナビゲーション バーで [ステータス] -> [セッション] をクリックすると、ページの上部に同時接続数が表示されます。
Tomcat Web サイトのルート ディレクトリはどこですか?
Apr 21, 2024 am 09:27 AM
Tomcat Web サイトのルート ディレクトリは Tomcat の webapps サブディレクトリにあり、Web アプリケーション ファイル、静的リソース、および WEB-INF ディレクトリを保存するために使用されます。これは、Tomcat 構成ファイルで docBase 属性を検索することで見つかります。
Tomcatのポート番号を確認する方法
Apr 21, 2024 am 08:00 AM
Tomcat のポート番号は、server.xml ファイルの <Connector> 要素の port 属性を確認することで確認できます。 Tomcat 管理インターフェイス (http://localhost:8080/manager/html) にアクセスし、[ステータス] タブを表示します。コマンドラインから「catalina.sh version」を実行し、「Port:」行を確認します。
Tomcat で異なるポート番号を持つ 2 つのプロジェクトを実行する方法
Apr 21, 2024 am 09:00 AM
Tomcat サーバー上で異なるポート番号を使用してプロジェクトを実行するには、次の手順が必要です。server.xml ファイルを変更し、Connector 要素を追加してポート番号を定義します。 Context 要素を追加して、ポート番号に関連付けられたアプリケーションを定義します。 WAR ファイルを作成し、対応するディレクトリ (webapps または webapps/ROOT) にデプロイします。 Tomcat を再起動して変更を適用します。
