添加过滤器,将没有用都的请求方法过滤掉,如DELETE
import java.io.IOException;
import java.util.Arrays;
import java.util.List;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class RequestFilter implements Filter {
public void init(FilterConfig config) throws ServletException {
}
public void destroy() {
}
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse res = (HttpServletResponse) response;
String method = req.getMethod();
List<String> methodList = Arrays.asList("DELETE", "HEAD", "PUT",
"OPTIONS","TRACE");
if (methodList.contains(method)) {
res.setStatus(403);
return;
}
chain.doFilter(request, response);
}
}
也可以在web.xml中设置
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation=" http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
id="WebApp_ID" version="2.5">
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
</web-app>
这种方式,用内嵌的jetty启动会报错,但tomcat没问题。。。未解决。。。暂时使用filter
Cookie中设置httpOnly标识
web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation=" http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
id="WebApp_ID" version="2.5">
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
</web-app>
也可以在 代码中设置
cookie.setHttpOnly(true);
分享到:
相关推荐
### WEB安全性测试测试用例(基础) #### 一、输入验证 输入验证是Web安全测试中的一个重要环节,它主要关注用户提交的数据是否符合预期的格式和类型,旨在防止恶意数据被提交到系统中,造成安全漏洞。以下是几种...
Web安全性测试是针对Web应用程序进行的一种关键评估,旨在发现并修复潜在的安全漏洞,防止黑客攻击和数据泄露。由于Web应用在现代社会中的广泛应用,它们成为网络犯罪分子的主要目标。忽视安全测试可能导致用户数据...
Web应用系统的安全性测试区域主要有: (1)现在的Web应用系统基本采用先注册,后登陆的方式。 (2)Web应用系统是否有超时的限制 (3)为了保证Web应用系统的安全性,日志文件是至关重要的。 (4)当使用了...
【WEB安全性测试测试用例详解】 在Web安全性测试中,测试用例的设计至关重要,它能够帮助我们发现并修复潜在的安全漏洞。以下是一些基础的测试用例,主要涉及溢出漏洞、信息泄漏、错误处理、SQL注入、身份验证和...
Web安全性测试是针对Web应用程序进行的一种评估过程,旨在发现并修复可能导致数据泄露、系统破坏或非法访问的潜在安全漏洞。这个过程涵盖了多个关键领域,以确保Web应用在运行时能够提供安全的用户体验。 首先,...
安全性测试主要是指利用安全性测试技术,在产品没有正式发布前找到潜在漏洞。找到漏洞后,需要把这些漏洞进行修复,避免这些潜在的漏洞被非法用户发现并利用。像我们测试中找软件产品bug一样,安全漏洞也是很难完全...
Web 服务安全性模型是保障基于Web的应用和服务交互过程中的安全性的关键组成部分。它涉及三个主要级别,即平台/传输级、应用程序级和消息级安全性,每个级别都有其特定的实现方式和应用场景。 **平台/传输级安全性*...
Web Service 的安全性解决方法 Web Service 的安全性解决方法是指在使用 Web Service 时,为了确保数据的安全性和可靠性而采取的一些措施。下面将详细介绍一种使用 SOAP 头信息来实现 Web Service 的安全性解决方法...
Web安全性测试是保护在线应用程序免受恶意攻击的关键环节。在这个8讲的系列中,我们将深入探讨几种最常见的Web安全威胁,并了解如何检测和防止这些威胁。以下是各讲的主要内容: 第一讲:Web安全性测试介绍 这一讲...
在Web服务的安全性规范分析与研究中,我们需要关注多个关键领域,以确保数据的保护、系统的稳定性和用户隐私。 1. **身份验证与授权**:这是Web服务安全的基础。通过HTTP基本认证、 Digest认证或更高级的WS-...
为了确保Web Services的开放性和支持多种客户端类型,安全性问题变得尤为重要。因此,了解如何保护Web Services以及现有解决方案的优缺点对于选择合适的安全机制至关重要。 #### 二、实验设计与实现 本节主要介绍...
sql注入:将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串 示例:在查询中输入字符串 ' or 1=1 --
【Web服务安全性问题综述】 Web服务安全性是当前信息技术领域中的关键议题,因为Web服务已成为企业间集成和通信的核心手段。然而,现有的Web服务体系架构在安全性方面存在诸多不足,需要一个全面的安全框架来应对...