`

tomcat下禁用不安全的http方法

 
阅读更多

WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 
     现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.NET应用的朋友就应该知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下,WebDAV在tomcat中的配置。 

Java代码  收藏代码
  1.    
  2.   
  3. 如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢?  
  4.   
  5. 解决方法  
  6.   
  7. 第一步:修改应用程序的web.xml文件的协议  
  8.   
  9. Xml代码    
  10. <?xml version="1.0" encoding="UTF-8"?>    
  11. <web-app xmlns="http://java.sun.com/xml/ns/j2ee"    
  12.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"    
  13.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"    
  14.     version="2.4">    
  15.   
  16. <?xml version="1.0" encoding="UTF-8"?>  
  17. <web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
  18.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  19.     xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
  20.     version="2.4">  
  21. 第二步:在应用程序的web.xml中添加如下的代码即可  
  22.   
  23. Xml代码    
  24.   <security-constraint>    
  25.    <web-resource-collection>    
  26.       <url-pattern>/*</url-pattern>    
  27.       <http-method>PUT</http-method>    
  28. <http-method>DELETE</http-method>    
  29. <http-method>HEAD</http-method>    
  30. <http-method>OPTIONS</http-method>    
  31. <http-method>TRACE</http-method>    
  32.    </web-resource-collection>    
  33.    <auth-constraint>    
  34.    </auth-constraint>    
  35.  </security-constraint>    
  36.  <login-config>    
  37.    <auth-method>BASIC</auth-method>    
  38.  </login-config>    
  39.   
  40.        


重新部署程序,重启tomcat即可完成 

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果 

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。 

关于web.xml的详细配置见 
http://www.blogjava.net/baoyaer/articles/107428.html 

分享到:
评论

相关推荐

    tomcat禁用RC4的方法

    禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码 ...

    各中间件禁用不安全的HTTP方法

    本文主要介绍如何在几种常见的中间件中禁用不安全的HTTP方法,包括TOMCAT、IIS和JBOSS。 #### TOMCAT **TOMCAT**是一款流行的开源Java Web容器,为了提高安全性,可以禁用一些不安全的HTTP方法。具体步骤如下: 1...

    关于HTTP协议禁用不常用方法漏洞的解决方案.docx

    ### 关于HTTP协议禁用不常用方法漏洞的解决方案 #### 漏洞概述 在网络通信中,HTTP(超文本传输协议)是客户端与服务器之间进行数据交换的主要方式之一。HTTP定义了一系列请求方法来规范交互过程,包括但不限于GET...

    关于Tomcat的AJP端口禁用.docx

    总之,禁用Tomcat的AJP端口是加强服务器安全的重要步骤,尤其是在不使用AJP通信或存在安全顾虑时。通过以上方法,您可以根据实际需求选择合适的方式来禁用或限制AJP服务,从而提高系统的整体安全性。

    tomcat禁止PUT等方法

    然而,在某些情况下,我们可能需要禁止 Tomcat 上的某些 HTTP 方法,例如 PUT、DELETE、HEAD、OPTIONS 和 TRACE 方法,以确保应用程序的安全性。 在本文中,我们将讨论如何禁止 Tomcat 上的 PUT 等方法,以防止未经...

    web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法

    因此,在不需要WebDAV功能或者希望增强服务器安全性的情况下,应该考虑禁用这些不必要的HTTP方法。 对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: ...

    tomcat安全加固手册

    默认情况下,Tomcat提供了一个用于关闭服务器的HTTP接口,该接口通过发送一个包含特定字符串(默认为“SHUTDOWN”)的GET请求来触发服务器关闭。为了增加安全性,建议将这个字符串更改为一个不易猜测的复杂字符串。...

    Tomcat在linux下的安装

    默认的Tomcat配置可能存在安全风险,如不安全的默认用户账户。生产环境中,你应该修改或删除这些默认账户,加强安全性,例如更改`tomcat-users.xml`中的管理员账户。 以上就是在Linux系统中安装和配置Apache ...

    Tomcat 开启基于https的SSL配置

    1. 把 keystore 证书上传到你的 Tomcat 服务器上(如果你的 Tomcat 在本地,那么不移动也可以),并记下证书所在路径。 2. cd 到 Tomcat 的 conf 目录下,打开 server.xml 文件,搜索 HTTPS 找到下面这项: ``` ...

    Tomcat安全加固操作清单

    - 如果Tomcat控制台不能禁用,可以通过为特定角色分配只读权限来进一步增强安全性,具体取决于使用的Tomcat版本。 #### 三、修改默认账号和密码 **背景**:默认的账号和密码容易被破解,因此需要进行修改或禁用。...

    Tomcat安全管理规范-线上运行配置规范

    ### Tomcat安全管理规范—线上运行配置规范 #### 一、前言 随着互联网技术的不断发展,Web服务在企业中的应用越来越广泛。Tomcat作为一款开源的轻量级Web服务器,因其简单易用、稳定性强等特点而被众多企业采用。...

    tomcat同时使用http和https访问的配置方法

    本文将详细讲解如何配置Tomcat服务器,使其能够同时支持HTTP和HTTPS协议,以满足不同场景下的安全需求。 首先,要理解HTTP和HTTPS的区别。HTTP(超文本传输协议)是一种无状态、明文传输的数据通信协议,它不提供...

    TOMCAT7.0+TOMCAT8.5

    5. 加强了安全性,例如默认禁用了不安全的HTTP方法和弱密码加密算法。 【JDK jar包】:Java Development Kit(JDK)是开发和运行Java应用程序所需的基础,它包含了Java编译器、Java运行环境和一些开发工具。对于...

    Tomcat 8 免安装版本

    下面将详细介绍Tomcat 8的主要特性和使用方法。 1. **主要特性** - **轻量级**:Tomcat 8是轻量级的服务器,占用资源少,适合小型到中型的应用。 - **遵循标准**:完全支持Java Servlet 3.1和JSP 2.3规范,为开发...

    信息安全等级保护测评作业指导书(Tomcat).doc

    【信息安全等级保护测评作业指导书(Tomcat)】 在信息安全领域,等级保护测评是一项关键的任务,旨在确保信息系统符合特定的安全标准。针对Tomcat应用服务器,这份作业指导书提供了详细的测评和配置步骤,以提高其...

    apache-tomcat-7.0.57(32位)

    管理Tomcat可以通过管理工具实现,例如Tomcat管理员(位于http://localhost:8080/manager/html)和Host Manager(http://localhost:8080/host-manager),但这些工具默认是禁用的,需要在server.xml中开启并配置相应...

    Tomcat SSL解决方案

    标题“Tomcat SSL解决方案”指的是在Apache Tomcat服务器上配置SSL(Secure Sockets Layer)或其更新版本TLS(Transport Layer Security)的过程,以实现安全的数据传输。SSL/TLS是网络通信中广泛使用的加密协议,...

    Tomcat JVM内存设置方法

    默认情况下,Tomcat的JVM内存设置可能无法满足所有应用程序的需求,特别是在资源密集型应用或高并发场景下。因此,了解如何手动调整Tomcat的JVM内存设置至关重要。 #### 二、理解JVM内存模型 在深入探讨如何设置...

    apache-tomcat-7.0.100防攻击版.zip

    此防攻击版可能已经禁用了不常用且可能存在风险的请求方法,仅保留了基本的GET和POST方法,以降低服务器暴露的安全风险。 4. 字符过滤:字符过滤是为了防止SQL注入、跨站脚本(XSS)等攻击。服务器可能会对输入数据...

Global site tag (gtag.js) - Google Analytics