`
xm_koma
  • 浏览: 384455 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

禁用WebDAV-tomcat

阅读更多

     由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。

      WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

      HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:

  OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。 

  HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。 

  GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。 

  POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 

  PUT 向指定资源位置上传其最新内容。 

  DELETE 请求服务器删除Request-URI所标识的资源。 

  TRACE 回显服务器收到的请求,主要用于测试或诊断。 

  CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 

  方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。 

  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。

     http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:

一、修改应用中的web.xml:

    第一步:修改web-app协议

     Xml代码     

     <?xml version="1.0" encoding="UTF-8"?>     

     <web-app xmlns="http://java.sun.com/xml/ns/j2ee"     

                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     

                      xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"     

                      version="2.4">  

  

    第二部:在应用程序的web.xml中添加如下的代码即可

    <security-constraint>    
    <web-resource-collection>    
       <url-pattern>/*</url-pattern>    
       <http-method>PUT</http-method>    
    <http-method>DELETE</http-method>    
    <http-method>HEAD</http-method>    
    <http-method>OPTIONS</http-method>    
    <http-method>TRACE</http-method>
    </web-resource-collection>    
       <auth-constraint>    
       </auth-constraint>    
    </security-constraint>    
    <login-config>    
        <auth-method>BASIC</auth-method>    
    </login-config>  

 

二、修改tomcat中conf下的web.xml

     步骤同上。

 

修改应用中的web.xml就只针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。

 

 

在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下:

第一步:

在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数

        <init-param>
            <param-name>readonly</param-name>
            <param-value>false</param-value>
        </init-param>

 

readonly参数默认是true,即不允许delete和put操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。

 

第二步:

从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,

<script type="text/javascript">
function getXMLHTTPRequest(){
    if (XMLHttpRequest)    {
        return new XMLHttpRequest();
    } else {
        try{
            return new ActiveXObject('Msxml2.XMLHTTP');
        }catch(e){
            return new ActiveXObject('Microsoft.XMLHTTP');
        }
    }
}
var req = getXMLHTTPRequest();
req.open('DELETE','http://localhost:8080/yours_web/test.html',false);
req.send(null);
document.write(req.responseText);

</script>

 document.write(req.responseText);这一句既是调用了Ajax,也是将删除的test.html返回回来,如果删除成功,那么应该看到的是404的效果。

 

 

 

另外对于web.xml配置参数的说明可参考:

http://www.blogjava.net/baoyaer/articles/107428.html

 

对于http深入了解可以参考:

http://blog.csdn.net/lyq5655779/article/details/7515284

 

分享到:
评论

相关推荐

    tomcat中间件禁用webdav方法

    tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法。

    webdav-aliyundriver-2.4.0.zip

    "webdav-aliyundriver-2.4.0.zip" 是一个用于将阿里云盘映射为本地网络驱动器的软件包,通过这个驱动程序,用户可以像操作本地文件系统一样操作阿里云盘中的文件,无需频繁下载和上传,提高工作效率。 该驱动程序的...

    webdav-aliyundriver jar包文件。

    webdav-aliyundriver jar包文件。可以搭配阿里云不限速token使用,启动方式 java -jar webdav-aliyundriver-2.4.0.jar --aliyundrive.refresh-token="your token" 需要启动环境拥有java 环境,没有的,可以百度,...

    jackrabbit-webdav-2.1.0.jar

    jackrabbit-webdav-2.1.0.jar 具体用法可以网上查找

    web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法

    对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: 1. 打开你的应用程序的`web.xml`文件,这是一个位于`WEB-INF`目录下的XML文件,用于定义应用程序的...

    webdav-aliyundriver 实现了阿里云盘的 webdav 协议,只需要简单的配置一下,就可以让阿里云盘变身为web

    webdav-aliyundriver 实现了阿里云盘的 webdav 协议,只需要简单的配置一下,就可以让阿里云盘变身为webdav协议的文件服务器, 基于此,你可以把阿里云盘挂载为Windows、Linux、Mac系统的磁盘,可以通过NAS系统做...

    apache-tomcat-8.5.31

    1. 下载压缩包,如提供的"apache-tomcat-8.5.31"。 2. 解压到适当目录。 3. 配置环境变量,例如设置`CATALINA_HOME`指向Tomcat的安装目录。 4. 启动Tomcat服务,可以通过运行`bin/startup.sh`(Unix/Linux)或`bin/...

    apache-tomcat-7.0.59-windows-x64 - 副本_123_

    这个版本是针对Windows 64位操作系统的,因此“apache-tomcat-7.0.59-windows-x64”这个文件名表明了它的平台兼容性。 在描述中提到的“打算富商大贾闪电发货给你发顽强的求安慰过法国人阿嘎that哈分段号GAFUKG和...

    apache-tomcat-8.0.52-x64.zip

    3. **解压并配置**:将`apache-tomcat-8.0.52-x64`文件解压到你希望的目录,然后根据需要配置`conf/server.xml`等配置文件。 4. **启动与停止**:可以通过bin目录下的`startup.sh`(Linux/Mac)或`startup.bat`...

    jackrabbit-webdav-2.3.2.src.zip

    在"jackrabbit-webdav-2.3.2.src.zip"这个压缩包中,包含了Jackrabbit WebDAV模块的源代码,版本为2.3.2。这个版本可能包含了针对WebDAV协议的各种功能改进和修复的bug,对于那些需要在Android平台上实现WebDAV功能...

    Laravel开发-laravel-webdav-method

    在标题提到的"Laravel开发-laravel-webdav-method"中,我们关注的是如何在Laravel 4中实现WebDAV功能。WebDAV为Laravel应用提供了支持远程文件操作的能力,比如创建、读取、更新和删除服务器上的文件,这对于分布式...

    apache-tomcat-8.0.24

    5. **WebDAV**:Tomcat可以配置为支持WebDAV协议,允许用户通过HTTP协议进行文件编辑和管理,这对于远程开发和协作非常有用。 6. **安全性**:8.0.24版本的Tomcat包含了多种安全特性,如角色基础的访问控制(RBAC)...

    jackrabbit-webdav-1.5.5.jar

    jackrabbit-webdav-1.5.5.jar

    apache-tomcat-5.5.23.zip

    1. 解压下载的`apache-tomcat-5.5.23.zip`到你选择的目录。 2. 设置环境变量,如`CATALINA_HOME`指向Tomcat的安装路径。 3. 启动Tomcat,可以通过`$CATALINA_HOME/bin/catalina.sh start`命令(在Unix/Linux系统中)...

    webdav-teambition:teambition网盘的webdav协议开源实现

    webdav-teambition 本项目实现了阿里Teambition网盘的webdav协议,只需要简单的配置一下cookies,就可以让Teambition变身为webdav协议的文件服务器。 基于此,你可以把Teambition挂载为Windows、Linux、Mac系统的...

    apache-tomcat-7.0.78-windows-x64.zip

    6. **WebDAV**:Tomcat 7.0.78 支持WebDAV协议,允许用户通过HTTP协议进行文件的创建、删除和修改,便于远程开发和管理。 7. **Security**:Tomcat提供了丰富的安全配置选项,如角色基础的访问控制、SSL/TLS加密...

    Python库 | pikpak_webdav-0.0.2-py3-none-win32.whl

    资源分类:Python库 所属语言:Python 资源全名:pikpak_webdav-0.0.2-py3-none-win32.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059

    apache-tomcat-7.0.59

    Apache Tomcat 7.0.59 是一个广泛使用的开源软件,它是一个符合Java Servlet和JavaServer Pages(JSP)规范的应用服务器,主要用于部署和运行Java Web应用程序。这个版本是Tomcat 7系列的一个特定发布,它在2014年...

    apache-tomcat-6.0.45-src.zip

    Apache Tomcat是一款开源的Java ...总的来说,通过研究`apache-tomcat-6.0.45-src.zip`的源代码,开发者不仅可以提升对Java Web应用服务器的理解,还能获得解决实际问题的能力,为个人或团队的开发工作带来显著的效益。

    jackrabbit-webdav-2.7.1.zip

    标题中的"jackrabbit-webdav-2.7.1.zip"指的是Apache Jackrabbit的一个特定版本——2.7.1的WebDAV模块的压缩包。Apache Jackrabbit是Java内容存储库(Content Repository)的一个实现,它遵循JCR(Java Content ...

Global site tag (gtag.js) - Google Analytics