tomcat 禁用不安全的http请求方式(转)
1:我的配置
web.xml(url下禁用的请求方式)
[xml] view plain copy
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
在网上找的,比较详细
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:
OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。
HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。
GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。
POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。
PUT 向指定资源位置上传其最新内容。
DELETE 请求服务器删除Request-URI所标识的资源。
TRACE 回显服务器收到的请求,主要用于测试或诊断。
CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。
HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。
http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:
一、修改应用中的web.xml:
第一步:修改web-app协议
Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://Java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">
第二部:在应用程序的web.xml中添加如下的代码即可
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
二、修改tomcat中conf下的web.xml
步骤同上。
修改应用中的web.xml就只针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。
在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下:
第一步:
在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数
Java代码 收藏代码
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
readonly参数默认是true,即不允许delete和put操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。
第二步:
从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,
Java代码 收藏代码
<script type="text/javascript">
function getXMLHTTPRequest(){
if (XMLHttpRequest) {
return new XMLHttpRequest();
} else {
try{
return new ActiveXObject('Msxml2.XMLHTTP');
}catch(e){
return new ActiveXObject('Microsoft.XMLHTTP');
}
}
}
var req = getXMLHTTPRequest();
req.open('DELETE','http://localhost:8080/yours_web/test.html',false);
req.send(null);
document.write(req.responseText);
</script>
document.write(req.responseText);这一句既是调用了Ajax,也是将删除的test.html返回回来,如果删除成功,那么应该看到的是404的效果。
另外对于web.xml配置参数的说明可参考:
http://www.blogjava.NET/baoyaer/articles/107428.html
对于http深入了解可以参考:
http://blog.csdn.Net/lyq5655779/article/details/7515284
分享到:
相关推荐
5. **连接器(Connectors)**:Tomcat提供了不同的连接器,用于接收和处理HTTP请求。这些连接器可以选择使用NIO(非阻塞I/O)或BIO(阻塞I/O)模式,以适应不同的性能需求。 6. **部署**:Tomcat6支持通过XML配置...
在这个例子中,所有的请求都被发送到AJP13工作器,这意味着所有的动态请求都将由Tomcat处理。 通过以上整合,我们可以充分利用Apache处理静态资源的能力,同时利用Tomcat处理Java应用,提高Web服务器的整体性能和...
Tomcat有三种运行模式:Bio(阻塞I/O)、NIO(非阻塞I/O)和APR(使用操作系统级别的异步I/O)。NIO模式利用Java的异步I/O技术,性能优于Bio,而APR虽然安装复杂,但性能提升更大。 3. **启用NIO模式** 修改`...
禁用AJP连接器可以避免不必要的安全风险,并可能提高性能,通过在`server.xml`中注释或移除`<Connector protocol="AJP/1.3">`段来实现。 三、JVM参数优化 1. **堆大小设置**:`-Xms`和`-Xmx`分别指定JVM初始和最大...
Tomcat7调优主要包括禁用不必要的AJP协议、切换到更高效的NIO通讯模式以及合理配置JVM参数。这些步骤有助于减少资源消耗,提高并发处理能力,从而提升整体系统性能。同时,持续监控和调整是保持Tomcat高效运行的关键...
Tomcat是 Jakarta 项目的一部分,是一个开源的Web应用服务器,可以处理大量的HTTP请求。为了提高Tomcat的性能,需要对其进行合理的参数配置。本文将详细介绍Tomcat参数配置的方法和原理。 一、调整JVM内存位置 在...
- 禁用AJP连接器,因为HTTP/HTTPS通常比AJP更安全且效率更高。删除或注释掉`<Connector protocol="AJP/1.3">`相关配置。 6. **JVM参数优化** - Java堆和栈大小的设置直接影响Tomcat的性能。根据应用需求,设置...
如果不希望Tomcat列出目录内容,可在`{tomcat_home}/conf/web.xml`中找到`<servlet>`元素,并将`listings`参数设为`false`,如下所示: ```xml ... <param-name>listings <param-value>false ... ```...
Servlet是Java Web开发中的核心组件,它用于接收和处理客户端的HTTP请求,并向客户端发送响应。在实际应用中,Servlet可能会遇到各种特殊的处理情况,这些情况涵盖了错误处理、会话管理、多线程问题、安全性等多个...
40.安全数据库模式 274 40.1用户模式 274 40.1.1集团当局 274 40.2持久登录(记得我)架构 275 40.3 ACL模式 275 40.3.1 HyperSQL 276 40.3.2 PostgreSQL 277 40.3.3 MySQL和MariaDB 278 40.3.4 Microsoft SQL ...
3. **HTTP请求与响应**:GET请求通常用于查询信息,而POST请求常用于提交表单数据。响应包括状态码、响应头和响应体,其中MIME类型指示了数据的类型。 4. **URL剖析**:URL(统一资源定位符)包含协议、主机、路径...
Servlet是Java API的一部分,它是用来处理HTTP请求的服务器端组件。当客户端发起请求时,Servlet容器(如Tomcat)会加载并实例化Servlet,调用其`service()`方法来处理请求,然后将响应返回给客户端。开发者需要...
20. **HTTP请求方法**:HTTP请求方法包括GET、POST、PUT、DELETE等,它们用于不同类型的资源操作。 这些知识点涵盖了计算机基础知识、编程语言特性、数据库操作、Web开发和操作系统等多个方面,都是计算机二级等级...
10. **网络编程设计模式**:如工厂模式用于创建Socket对象,观察者模式用于监听网络事件,模板方法模式用于定义网络通信的通用流程等。 通过分析和学习这些源代码,开发者不仅可以掌握Java网络编程的基本技巧,还能...
1. **Servlet**: 这是Java Web开发中的基础组件,用于处理HTTP请求。在登录注册场景下,Servlet会接收到用户的登录或注册请求,执行相应的业务逻辑,比如验证用户名和密码,然后返回结果。 2. **Spring Boot**: ...
它负责处理HTTP请求,控制应用程序流程,并将数据传递给视图进行展示。在权限管理中,Struts可以处理用户的登录验证、权限检查等操作。 3. **Hibernate ORM框架**:Hibernate是一个对象关系映射工具,它简化了Java...
5. **触发数据导入**:通过发送 HTTP 请求到 Solr 的 DataImportHandler 来触发全量或增量数据导入。 完成以上步骤后,Solr 就能连接到 MySQL 数据库,并根据配置定时或手动地进行数据同步。在实际应用中,你可能还...
- JSP内置对象:如request、response、session、application等,它们提供了与HTTP请求交互的能力。 2. **JSP指令** - `page`指令:用于设置整个页面的属性,如语言、导入的包、错误页等。 - `include`指令:用于...
Servlet是Java编写的服务器端程序,用于处理HTTP请求,提供动态内容服务。JSP则是一种视图技术,允许开发者将HTML和Java代码混合编写,以实现页面展示逻辑。JavaBean则作为业务逻辑层的对象,封装了具体的操作,可以...
在Java面试中,涉及的知识点广泛且深入,包括了JVM性能优化、分布式框架如SpringCloud和Dubbo,以及服务器配置如Tomcat的调优。以下将详细解析这些关键领域的重点内容。 1. **Tomcat优化** - **JVM参数设置**:`-...