Tomcat下如何禁用不安全的HTTP方法?

WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。

现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.NET应用的朋友就应该知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下,WebDAV在tomcat中的配置。

那么该如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?

第一步:修改应用程序的web.xml文件的协议。

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">

第二步:在应用程序的web.xml中添加如下的代码即可。

<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>

重新部署程序,重启tomcat即可完成。

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果。以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。

我要评论!

想一个你喜欢的昵称。
给一个你的常用邮箱。
想和萌萌哒的TA们说点啥。
  • MuMu模拟器是网易推出的一款安卓模拟器,资源消耗少、运行较流畅,支持多开分屏同步,挂机比较稳定。针对热门手游王者荣耀独家推出一键喊话、打野倒计时辅助功能,完美支持网易游戏和市面上火爆手游,具备全面兼容、操作流畅、智能辅助等特点,是国内优秀的手游模拟器之一。 MuMu特色 话说现在的安卓模拟器太多了...
  • 背景信息: 2019年4月03日,监测到Apache 官方发布安全更新,修复了多个安全漏洞,其中包含一个严重级别的提权漏洞(CVE-2019-0211)。成功利用此漏洞可能造成目标系统中低权限的子进程或线程提升至root权限。 漏洞描述: Apache HTTP Server 版本 2.4.17~2...
  • 有的网站需要登陆才能抓取到网站的数据,那么光模拟浏览器请求网站内容是还不够了,还需要能够模拟用户登陆网站,然后保留登陆状态,获取网站相关的内容。 想要成功模拟真实用户登陆,重点要找到登录时候提交表单都包含了哪些真实的数据。然后使用Python生成这些数据,携带在请求头信息当中,这样服务器就能当做正常...
  • 说实话这方面网上一搜一堆,但是真正能让用户明白的却少之又少。好了,我们开始。 认识下location: 语法规则: location [=|~|~*|^~] /uri/ { … } = 开头表示精确匹配 ^~ 开头表示uri以某个常规字符串开头,理解为匹配 url路径即可。nginx不对url做编码...
  • 漏洞描述: 2018年3月29日,Drupal官方发布新补丁和安全公告,宣称Drupal 6.x,7.x,8.x等多个子版本存在远程代码执行漏洞,攻击者可以利用Drupal网站漏洞执行代码,导致网站被完全控制。 漏洞定级: 高危 漏洞影响范围: Drupal 6.x版本,7.x版本,8.x版本 解决...
微信扫一扫即可带走我!