版权声明:本文为博主原创文章,转载请注明出处。 https://blog.csdn.net/XiaHeShun/article/details/83818999
服务器上启用了TRACE方法 || 服务器允许OPTIONS方法 || 缓慢的HTTP请求导致拒绝服务攻击 || IBM WebSphere/WebLogic文件读取漏洞绕过限制
1.修改Tomcat下的web.xml文件
<security-constraint>
<web-resource-collection>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
</security-constraint>
2.修改server.xml文件,由于tomcat的优先级加载问题,需要添加allowTrace="true"属性,拒绝服务需要修改connectionTimeout="8000"属性
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="8000"
redirectPort="8443"
useBodyEncodingForURI="true"
IEncoding="utf-8"
URIEncoding="utf-8"
allowTrace="true"/>
3.设置AJAX的全局timeout时间(默认为30000ms)
在common.js中添加$.ajaxSetup({timeout:8000});修改全局延时变量
4.更新WebSphere至最新版,或者更新编号PK81387的安全补丁,更新到最新版应该最为方便
链接地址http://www-01.ibm.com/support/docview.wss?uid=swg24022456