社群
學習
工具庫
AI工具
休閒
搜尋
繁体中文
目錄
Springboot 內建tomcat禁止不安全HTTP方法
1、在tomcat的web.xml中可以設定如下內容
2、Spring boot使用內建tomcat
啟用不安全的HTTP方法
問題描述:
在web應用程式中的web.xml加上如下內容
首頁 Java java教程 Springboot怎麼使用內建tomcat禁止不安全HTTP

Springboot怎麼使用內建tomcat禁止不安全HTTP

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB
May 12, 2023 am 11:49 AM
http tomcat springboot

Springboot 內建tomcat禁止不安全HTTP方法

1、在tomcat的web.xml中可以設定如下內容

讓tomcat禁止不安全的HTTP方法

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
   <http-method>DELETE</http-method>  
   <http-method>HEAD</http-method>  
   <http-method>OPTIONS</http-method>  
   <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>
登入後複製

2、Spring boot使用內建tomcat

沒有web.xml設定文件,可以透過以下設定進行,簡單來說就是要注入到Spring容器中

@Configuration
public class TomcatConfig { 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
   @Override
   public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection collection = new SecurityCollection();
    //http方法
    collection.addMethod("PUT");
    collection.addMethod("DELETE");
    collection.addMethod("HEAD");
    collection.addMethod("OPTIONS");
    collection.addMethod("TRACE");
    //url匹配表达式
    collection.addPattern("/*");
    constraint.addCollection(collection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint );
    
    //设置使用httpOnly
    context.setUseHttpOnly(true);    
   }
        });
        return tomcatServletContainerFactory;
    } 
}
登入後複製

啟用不安全的HTTP方法

問題描述:

可能會在Web伺服器上上載、修改或刪除Web頁面、腳本和檔案。

"啟用了不安全的HTTP方法:OPTIONS /system HTTP/1.1Allow: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

上述方法的用途:

  • Options、Head、Trace:主要由應用程式來發現和追蹤伺服器支援和網路行為;

  • ##Get:檢索文件;

  • Put和Post:將文件提交到伺服器;

  • Delete:銷毀資源或集合;

    • ##Mkcol:創建集合

    • PropFind和PropPatch:針對資源和集合檢索和設定屬性;

    • Copy和Move:管理命名空間上下文中的集合和資源;

    • Lock與Unlock:改寫保護

    • 很顯然上述操作明細可以對web伺服器進行上傳、修改、刪除等操作,對服務造成威脅。雖然WebDAV有權限控制但是網上一搜還是一大堆的攻擊方法,所以如果不需要這些方法還是建議直接屏蔽就好了。

解決方案:

在web應用程式中的web.xml加上如下內容

<security-constraint>
        <web-resource-collection>
            <web-resource-name>disp</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>PATCH</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>
登入後複製

標籤介紹:

    #用於限制對資源的存取;

    • 用來限制那些角色可以存取資源,這裡設定為空就是禁止所有角色使用者存取;

    • < ;url-pattern>指定需要驗證的資源

    • 指定那些方法需要驗證

以上是Springboot怎麼使用內建tomcat禁止不安全HTTP的詳細內容。更多資訊請關注PHP中文網其他相關文章!

本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

AI Hentai Generator

AI Hentai Generator

免費產生 AI 無盡。

顯示更多

熱門文章

R.E.P.O.能量晶體解釋及其做什麼(黃色晶體)
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳圖形設置
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
刺客信條陰影:貝殼謎語解決方案
2 週前 By DDD
R.E.P.O.如果您聽不到任何人,如何修復音頻
3 週前 By 尊渡假赌尊渡假赌尊渡假赌
WWE 2K25:如何解鎖Myrise中的所有內容
4 週前 By 尊渡假赌尊渡假赌尊渡假赌
顯示更多

熱工具

記事本++7.3.1

記事本++7.3.1

好用且免費的程式碼編輯器

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

禪工作室 13.0.1

禪工作室 13.0.1

強大的PHP整合開發環境

Dreamweaver CS6

Dreamweaver CS6

視覺化網頁開發工具

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)

顯示更多

熱門話題

gmail信箱登陸入口在哪裡
7480
15
CakePHP 教程
1377
52
steam的賬戶名稱是什麼格式
77
11
win11激活密鑰永久
51
19
NYT連接提示和答案
19
33
顯示更多
Related knowledge
tomcat如何部署jar項目 tomcat如何部署jar項目 Apr 21, 2024 am 07:27 AM

若要將 JAR 專案部署到 Tomcat,請遵循以下步驟:下載並解壓縮 Tomcat。配置 server.xml 文件,設定連接埠和專案部署路徑。將 JAR 檔案複製到指定的部署路徑中。啟動 Tomcat。使用提供的 URL 存取已部署的項目。

tomcat伺服器怎麼能讓外網訪問 tomcat伺服器怎麼能讓外網訪問 Apr 21, 2024 am 07:22 AM

要讓 Tomcat 伺服器對外網訪問,需要:修改 Tomcat 設定文件,允許外部連接。新增防火牆規則,允許存取 Tomcat 伺服器連接埠。建立 DNS 記錄,將網域名稱指向 Tomcat 伺服器公有 IP。可選:使用反向代理提升安全性和效能。可選:設定 HTTPS 以提高安全性。

tomcat安裝目錄在哪裡 tomcat安裝目錄在哪裡 Apr 21, 2024 am 07:48 AM

Tomcat 安裝目錄:預設路徑:Windows:C:\Program Files\Apache Software Foundation\Tomcat 9.0macOS:/Library/Tomcat/Tomcat 9.0Linux:/opt/tomcat/tomcat9自訂路徑:安裝時可指定。尋找安裝目錄:使用 whereis 或 locate 指令。

tomcat怎麼部署多個項目 tomcat怎麼部署多個項目 Apr 21, 2024 am 09:33 AM

要透過 Tomcat 部署多個項目,需要建立每個專案的 webapp 目錄,然後:自動部署:將 webapp 目錄放置在 Tomcat 的 webapps 目錄中。手動部署:在 Tomcat 的 manager 應用程式中手動部署專案。專案部署後,可以透過其部署名稱訪問,例如:http://localhost:8080/project1。

tomcat並發連線數怎麼查看 tomcat並發連線數怎麼查看 Apr 21, 2024 am 08:12 AM

查看Tomcat並發連線數的方法:造訪Tomcat Manager頁面(http://localhost:8080/manager/html),輸入使用者名稱和密碼。在左側導覽列中點選Status->Sessions,即可在頁面頂部看到並發連線數。

tomcat網站根目錄在哪裡 tomcat網站根目錄在哪裡 Apr 21, 2024 am 09:27 AM

Tomcat 網站根目錄位於 Tomcat 的 webapps 子目錄中,用於儲存 Web 應用程式檔案、靜態資源和 WEB-INF 目錄;它可以透過尋找 Tomcat 設定檔中的 docBase 屬性來找到。

tomcat的連接埠號碼怎麼看 tomcat的連接埠號碼怎麼看 Apr 21, 2024 am 08:00 AM

Tomcat埠號碼可透過以下方法檢視:檢查server.xml檔案中的<Connector>元素的port屬性。造訪Tomcat管理介面(http://localhost:8080/manager/html)並查看"Status"標籤。在命令列中運行"catalina.sh version"並查看"Port:"行。

tomcat怎麼運行兩個不同連接埠號碼的項目 tomcat怎麼運行兩個不同連接埠號碼的項目 Apr 21, 2024 am 09:00 AM

在Tomcat伺服器上執行不同連接埠號碼的專案需要以下步驟:修改server.xml檔案並新增Connector元素以定義連接埠號碼。新增Context元素以定義與連接埠號碼關聯的應用程式。建立WAR檔案並部署到對應目錄(webapps或webapps/ROOT)。重啟Tomcat以應用更改。

See all articles