文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Springboot怎么使用内置tomcat禁止不安全HTTP

2023-06-08 08:06

关注

本文小编为大家详细介绍“Springboot怎么使用内置tomcat禁止不安全HTTP”,内容详细,步骤清晰,细节处理妥当,希望这篇“Springboot怎么使用内置tomcat禁止不安全HTTP”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。

Springboot 内置tomcat禁止不安全HTTP方法

1、在tomcat的web.xml中可以配置如下内容

让tomcat禁止不安全的HTTP方法

<security-constraint>     <web-resource-collection>        <url-pattern>/*</url-pattern>        <http-method>PUT</http-method>     <http-method>DELETE</http-method>     <http-method>HEAD</http-method>     <http-method>OPTIONS</http-method>     <http-method>TRACE</http-method>     </web-resource-collection>     <auth-constraint>     </auth-constraint>  </security-constraint>  <login-config>    <auth-method>BASIC</auth-method>  </login-config>

2、Spring boot使用内置tomcat

没有web.xml配置文件,可以通过以下配置进行,简单来说就是要注入到Spring容器中

@Configurationpublic class TomcatConfig {     @Bean    public EmbeddedServletContainerFactory servletContainer() {        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){    @Override   public void customize(Context context) {    SecurityConstraint constraint = new SecurityConstraint();    SecurityCollection collection = new SecurityCollection();    //http方法    collection.addMethod("PUT");    collection.addMethod("DELETE");    collection.addMethod("HEAD");    collection.addMethod("OPTIONS");    collection.addMethod("TRACE");    //url匹配表达式    collection.addPattern("/*");    constraint.addCollection(collection);    constraint.setAuthConstraint(true);    context.addConstraint(constraint );        //设置使用httpOnly    context.setUseHttpOnly(true);       }        });        return tomcatServletContainerFactory;    } }

启用不安全的HTTP方法

问题描述:

可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。

"启用了不安全的HTTP方法:OPTIONS /system HTTP/1.1Allow: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

上述方法的用途:

很显然上述操作明细可以对web服务器进行上传、修改、删除等操作,对服务造成威胁。虽然WebDAV有权限控制但是网上一搜还是一大堆的攻击方法,所以如果不需要这些方法还是建议直接屏蔽就好了。

解决方案:

在web应用中的web.xml加上如下内容

<security-constraint>        <web-resource-collection>            <web-resource-name>disp</web-resource-name>            <url-pattern>/*</url-pattern>            <http-method>PUT</http-method>            <http-method>DELETE</http-method>            <http-method>HEAD</http-method>            <http-method>OPTIONS</http-method>            <http-method>TRACE</http-method>            <http-method>PATCH</http-method>        </web-resource-collection>        <auth-constraint></auth-constraint>    </security-constraint>

标签介绍:

读到这里,这篇“Springboot怎么使用内置tomcat禁止不安全HTTP”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯