tomcat 禁用不安全的http请求模式(转)

tomcat 禁用不安全的http请求方式（转）
1：我的配置
web.xml(url下禁用的请求方式)
[xml] view plain copy
<security-constraint> 
        <web-resource-collection> 
            <url-pattern>/*</url-pattern> 
            <http-method>PUT</http-method> 
            <http-method>DELETE</http-method> 
            <http-method>HEAD</http-method> 
            <http-method>OPTIONS</http-method> 
            <http-method>TRACE</http-method> 
        </web-resource-collection> 
        <auth-constraint> 
        </auth-constraint> 
    </security-constraint> 
在网上找的，比较详细
WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。
      HTTP/1.1协议中共定义了八种方法（有时也叫“动作”）来表明Request-URI指定的资源的不同操作方式：
　　OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。　
　　HEAD 向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。　
　　GET 向特定的资源发出请求。注意：GET方法不应当被用于产生“副作用”的操作中，例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。　
　　POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。　
　　PUT 向指定资源位置上传其最新内容。　
　　DELETE 请求服务器删除Request-URI所标识的资源。　
　　TRACE 回显服务器收到的请求，主要用于测试或诊断。　
　　CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。　
　　方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候，服务器应当返回状态码405（Method Not Allowed）；当服务器不认识或者不支持对应的请求方法的时候，应当返回状态码501（Not Implemented）。　
　　HTTP服务器至少应该实现GET和HEAD方法，其他方法都是可选的。当然，所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外，除了上述方法，特定的HTTP服务器还能够扩展自定义的方法。
     http的访问中，一般常用的两个方法是：GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式：
一、修改应用中的web.xml：
    第一步：修改web-app协议
     Xml代码    
     <?xml version="1.0" encoding="UTF-8"?>    
     <web-app xmlns="http://Java.sun.com/xml/ns/j2ee"    
                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    
                      xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"    
                      version="2.4"> 
 
    第二部：在应用程序的web.xml中添加如下的代码即可
    <security-constraint>    
    <web-resource-collection>    
       <url-pattern>/*</url-pattern>    
       <http-method>PUT</http-method>    
    <http-method>DELETE</http-method>    
    <http-method>HEAD</http-method>    
    <http-method>OPTIONS</http-method>    
    <http-method>TRACE</http-method>
    </web-resource-collection>    
       <auth-constraint>    
       </auth-constraint>    
    </security-constraint>    
    <login-config>    
        <auth-method>BASIC</auth-method>    
    </login-config> 

二、修改tomcat中conf下的web.xml
     步骤同上。

修改应用中的web.xml就只针对本应用起作用，修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。


在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前)，测试http的DELETE方法的效果，方式如下：
第一步：
在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数
Java代码  收藏代码
<init-param> 
    <param-name>readonly</param-name> 
    <param-value>false</param-value> 
</init-param> 

readonly参数默认是true，即不允许delete和put操作，所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。

第二步:
从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,
Java代码  收藏代码
<script type="text/javascript"> 
function getXMLHTTPRequest(){ 
    if (XMLHttpRequest)    { 
        return new XMLHttpRequest(); 
    } else { 
        try{ 
            return new ActiveXObject('Msxml2.XMLHTTP'); 
        }catch(e){ 
            return new ActiveXObject('Microsoft.XMLHTTP'); 
        } 
    } 
} 
var req = getXMLHTTPRequest(); 
req.open('DELETE','http://localhost:8080/yours_web/test.html',false); 
req.send(null); 
document.write(req.responseText); 
 
</script> 
document.write(req.responseText);这一句既是调用了Ajax，也是将删除的test.html返回回来，如果删除成功，那么应该看到的是404的效果。



另外对于web.xml配置参数的说明可参考：
http://www.blogjava.NET/baoyaer/articles/107428.html

对于http深入了解可以参考：
http://blog.csdn.Net/lyq5655779/article/details/7515284