TOMCAT禁用请求类型，如TRACE,HEAD,PUT,DELETE,OPTIONS等 - 代码天地

TOMCAT禁用请求类型，如TRACE,HEAD,PUT,DELETE,OPTIONS等

其他 2020-01-20 17:34:02 阅读次数: 0

项目中常用的请求方式有GET和POST，但除了这之外还有TRACE,HEAD,PUT,DELETE,OPTIONS。由于安全目的，通常会禁用除GET和POST之外的请求方式。

经过测试，在tomcat的web.xml配置文件最后加上请求方式限制，配置如下：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">

    <security-constraint>
        <web-resource-collection>
            <!-- web-app_2_5.xsd需要加上名称 2.4则不需要-->
            <web-resource-name>随意的名称</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
</web-app>

还需要修改tomcat的/conf/server.xml中Connector 的allowTrace，默认为false。配置如下：

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"  allowTrace="true"/>

测试中<auth-constraint/>写法的有时候没有效果，需要注意。

测试方式：

使用命令：curl -v -X 请求方式目的地址

查看结果和是否有Allow：POST、GET、DELETE、OPTIONS、PUT、HEAD

如：curl -v -X TRACE http://localhost:8080/login

curl -v -X PUT http://localhost:8080/login

发布了2 篇原创文章 · 获赞 1 · 访问量 47

私信关注

猜你喜欢

转载自blog.csdn.net/qq_34192626/article/details/102515021

TOMCAT禁用请求类型，如TRACE,HEAD,PUT,DELETE,OPTIONS等

tomcat 禁用trace,put,head,post,delete 请求方式

HTTP请求：GET、HEAD、POST、PUT、DELETE、CONNECT、OPTIONS、TRACE

请求方式（GET, POST , HEAD, PUT , DELETE, CONNECT, OPTIONS , TRACE）

[转帖]HTTP请求方法：GET、HEAD、POST、PUT、DELETE、CONNECT、OPTIONS、TRACE 说明 HTTP请求方法：GET、HEAD、POST、PUT、DELETE、CONNECT、OPTIONS、TRACE 说明

http请求方法（GET、POST、HEAD、OPTIONS、PUT、DELETE、TRACE、CONNECT）

http请求方法安全性：GET、POST、PUT、PATCH、DELETE、OPTIONS、HEAD、TRACE

HTTP Request GET, HEAD, POST, PUT, DELETE, OPTIONS, TRACE Methods

http协议中:GET/POST/PUT/DELETE/INPUT/TRACE/OPTIONS/HEAD方法

说说RESTFUL中的方法：GET、POST、PUT、PATCH、DELETE、OPTIONS、HEAD、TRACE

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序

HTTP Method 详细解读(`GET` `HEAD` `POST` `OPTIONS` `PUT` `DELETE` `TRACE` `CONNECT`)--转

get,post,patch,put,delete,head,options

HTTP1.1新增了五种请求方法：OPTIONS、PUT、PATCH、DELETE、TRACE 、 CONNECT

Tomcat中禁用OPTIONS/DELETE等

浅谈http协议六种请求方法，get、head、put、delete、post、options区别

HTTP协议之get,head,post,put,delete,Options六种请求方法详解

BURP 测试出 OPTIONS PUT DELETE TRACE 方法

Nginx 关闭/屏蔽 PUT、DELETE、OPTIONS 请求

ESTful Request：GET/PUT/DELETE/POST/HEAD/OPTIONS

PUT,POST,DELETE,GET, HEAD, OPTIONS 幂等性详解

Vue axios请求PUT/DELETE请求变OPTIONS

[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE，PUT，OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法

GET,POST,PUT,DELETE,OPTIONS等请求方式简单总结

【.NET】Html的请求方法：Get、Post、Options、Put、Delete等

Servlet中的请求类型 PUT，DElETE

如何禁止不必要的 HTTP 方法，如DELETE，PUT，OPTIONS等协议访问应用程序

常用的几种HTTP方法介绍：post/get/put/head/delete/options/connect

Tomcat禁用OPTIONS协议

GET,POST,PUT,DELETE请求我都听过,OPTIONS又是什么鬼?!

今日推荐

火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱？

北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”

LFOSSA 源来如此公开课 | 掌握云原生未来：CNCF 认证全面攻略与备考秘籍

国产云输入法——仅华为无云端数据上传安全问题

开源日报 | 工业开源项目OGG 1.0；姐姐，你要和我一起配置火狐吗；苹果AI遥遥落后？Fedora 40

开放签电子签章：停止新增，优化体验，前进更进（五一假期前工作）

开源日报 | 中学生开源前端动画引擎；全球首个Llama3 8B中文版开源模型；联想电脑恐出局；Linus讽刺AI炒作

周排行

浏览器对同一域名进行请求的最大并发连接数

React Hook之自定义Hook

【转】MyBatis缓存机制

-Java-泛型

自动化测试常用脚本-发送邮件

LeetCode#859: Buddy Strings

java、Python处理字符串

第二篇の博客

Hadoop伪分布式环境安装

SQL Server进阶（十一）临时表、表变量

每日归档

更多

2024-04-27(56)

2024-04-26(39)

2024-04-25(22)

2024-04-24(36)

2024-04-23(26)

2024-04-22(39)

2024-04-21(0)

2024-04-20(6)

2024-04-19(5)

2024-04-18(0)