由于要处理一份关于公司的一个公众用户网站安全扫描中可能存在的安全性问题。需要禁用WebDAV,或者说是对http中的一些方法的禁用。
WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。
HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:
OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。
HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。
GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。
POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。
PUT 向指定资源位置上传其最新内容。
DELETE 请求服务器删除Request-URI所标识的资源。
TRACE 回显服务器收到的请求,主要用于测试或诊断。
CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。
方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。
HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。
http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式:
一、修改应用中的web.xml:
第一步:修改web-app协议
Xml代码
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
version="2.4">
第二部:在应用程序的web.xml中添加如下的代码即可
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
二、修改tomcat中conf下的web.xml
步骤同上。
修改应用中的web.xml就只针对本应用起作用,修改tomcat中的web.xml就可以对启动在该tomcat下所有的应用起作用。
在未限制DELETE等方法前(即未做上述web.xml的内容的添加之前),测试http的DELETE方法的效果,方式如下:
第一步:
在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>
readonly参数默认是true,即不允许delete和put操作,所以默认的通过XMLHttpRequest对象的put或者delete方法访问就会报告 http 403 forbidden 错误。
第二步:
从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,
<script type="text/javascript">
function getXMLHTTPRequest(){
if (XMLHttpRequest) {
return new XMLHttpRequest();
} else {
try{
return new ActiveXObject('Msxml2.XMLHTTP');
}catch(e){
return new ActiveXObject('Microsoft.XMLHTTP');
}
}
}
var req = getXMLHTTPRequest();
req.open('DELETE','http://localhost:8080/yours_web/test.html',false);
req.send(null);
document.write(req.responseText);
</script>
document.write(req.responseText);这一句既是调用了Ajax,也是将删除的test.html返回回来,如果删除成功,那么应该看到的是404的效果。
另外对于web.xml配置参数的说明可参考:
http://www.blogjava.net/baoyaer/articles/107428.html
对于http深入了解可以参考:
http://blog.csdn.net/lyq5655779/article/details/7515284
分享到:
相关推荐
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法。
对于Tomcat服务器,禁用WebDAV或特定HTTP方法可以通过修改应用程序的`web.xml`配置文件来实现。以下是具体步骤: 1. 打开你的应用程序的`web.xml`文件,这是一个位于`WEB-INF`目录下的XML文件,用于定义应用程序的...
3. **解压并配置**:将`apache-tomcat-8.0.52-x64`文件解压到你希望的目录,然后根据需要配置`conf/server.xml`等配置文件。 4. **启动与停止**:可以通过bin目录下的`startup.sh`(Linux/Mac)或`startup.bat`...
1. **禁用WebDAV**:如果服务器不需要支持WebDAV功能,可以直接禁用该服务。对于IIS 7及更高版本,可以通过以下方法禁用WebDAV: - 方法一:从HttpModule中移除WebDAVModule - 方法二:移除WebDAV模块 - 方法三...
内容概要:本文详细介绍了A*搜索算法和DWA(动态窗口法)算法的基本原理及其在机器人路径规划中的融合应用。A*算法用于全局路径规划,通过启发式搜索找到从起点到目标点的最短路径;DWA算法则专注于局部动态环境下的实时避障,确保机器人在移动过程中能够灵活避开障碍物。两者结合可以在复杂环境中提供高效的路径规划解决方案。文中提供了详细的Python代码实现,帮助读者理解和实践这两种算法的融合方法。 适合人群:对机器人路径规划感兴趣的初学者和技术爱好者,尤其是有一定编程基础的小白。 使用场景及目标:适用于需要在静态和动态环境中进行路径规划的机器人项目。主要目标是使机器人能够在复杂环境中安全、高效地到达目标位置,同时避免障碍物。具体应用场景包括但不限于室内导航、无人驾驶车辆等。 其他说明:文章不仅讲解了理论知识,还给出了具体的代码实现和调试技巧,如启发函数的选择、速度空间采样的优化、评分权重的调整等。此外,还提到了一些常见问题及解决方法,如机器人在遇到突发情况时的行为调整。
ELK日志架构部署与应用指南:构建高效、可靠的日志管理与分析系统 本指南全面介绍ELK(Elasticsearch、Logstash、Kibana)日志架构的部署实践与优化策略,旨在帮助技术团队构建可扩展、高容错的日志处理平台。内容涵盖ELK核心组件(Filebeat、Logstash、Kafka、Elasticsearch、Kibana)的工作原理、架构设计、配置案例及最佳实践,重点解析以下关键内容: ● 架构选型与演进:从基础架构到分布式集群,对比单节点、轻量级(Filebeat+Logstash)及引入Kafka的高可用架构优劣,指导根据实际场景选择合适的部署模型。 ● 组件深度解析:详细讲解Filebeat轻量级采集、Logstash灵活处理、Kafka消息缓冲、Elasticsearch分布式索引及Kibana可视化分析的实现机制与性能调优。 ● 日志规范与实战:明确日志打印格式标准(时间、级别、组件、用户信息等),结合配置示例(如Nginx日志采集到Kafka的动态Topic生成)演示数据流转全过程。 ● 运维与扩展:涵盖集群高可用设计、负载均衡策略、日志实时监控及异常报警机制,为系统稳定性与后续扩展提供完整解决方案。 本指南适合日志管理需求的中大型企业技术团队,可作为从架构设计到落地实施的实操手册,助力提升日志分析效率与系统运维能力。
内容概要:本文详细介绍了基于T型三电平逆变器的虚拟同步机(VSG)控制技术,涵盖VSG的核心算法、中点电位平衡策略以及LCL滤波器的双闭环控制设计。首先探讨了VSG控制的基本原理,包括虚拟惯量和阻尼特性的模拟,以及有功-频率和无功-电压下垂控制的具体实现。针对T型三电平拓扑特有的中点电位漂移问题,提出了多种平衡控制方法。对于LCL滤波器,讨论了其参数设计和双闭环控制策略,特别是电流环PI参数的选择和避免谐振的方法。文中还提供了多个实用的经验公式和调试技巧,并引用了相关领域的权威文献作为理论支持。 适合人群:从事电力电子、新能源并网系统研究和开发的技术人员,尤其是有一定电力电子基础的研发人员。 使用场景及目标:适用于需要深入了解和掌握VSG控制技术和LCL滤波器设计的研究人员和技术开发者。主要目标是帮助读者理解和实现T型三电平逆变器的VSG控制,提高系统的稳定性和性能。 其他说明:文中不仅提供了详细的理论解释,还有具体的代码实现和调试建议,便于读者进行实际操作和验证。同时强调了调试过程中需要注意的安全事项和常见问题的解决方案。
内容概要:本文介绍了Go语言(又称Golang)的特点、应用场景和发展背景。Go语言由Google团队于2007年设计,2009年发布,以其简洁的语法、高效的编译性能和强大的并发支持著称。它摒弃了复杂的面向对象特性,采用接口和组合的方式实现代码复用。作为编译型语言,Go语言通过严格的类型检查确保代码质量,并内置了高效的垃圾回收机制。Go语言广泛应用于服务器端开发、云计算和微服务架构等领域,如Google、Docker和Uber等公司均采用Go语言构建后端服务。此外,Go语言拥有丰富的学习资源,包括官方文档、社区支持以及权威书籍和在线课程。; 适合人群:对编程有一定了解,特别是对高性能后端开发感兴趣的开发者。; 使用场景及目标:①希望掌握一门适用于服务器端开发、云计算和微服务架构的编程语言;②想深入了解并发编程和支持高并发场景的开发技术。; 其他说明:学习Go语言不仅可以提升编程技能,还能借助其活跃的社区和丰富的学习资源,快速适应现代互联网应用开发的需求。
Ollama0.6.2安装文件-2
内容概要:本文详细介绍了Java并发编程中的多个重要概念和技术,包括CountDownLatch、CyclicBarrier、Semaphore等同步工具类,深入探讨了线程的创建方式、运行状态及线程安全问题。文章还讲解了原子性、可见性、有序性三大特性及其解决方案,如锁机制和原子类的应用。此外,文中对比了悲观锁和乐观锁的特点与适用场景,并阐述了线程池的核心参数配置。最后,简要介绍了Spring框架的核心技术,如IOC、AOP及事务管理的基本概念。 适合人群:具备一定Java编程基础,尤其是对并发编程和Spring框架有一定了解的研发人员。 使用场景及目标:①帮助开发者理解Java并发编程中的同步工具类、线程管理及线程安全问题;②指导开发者在实际项目中选择合适的锁机制和线程池配置;③加深对Spring框架中IOC、AOP及事务管理的理解,提升开发效率。 其他说明:本文不仅提供了理论知识,还结合了代码示例,便于读者理解和实践。建议读者在学习过程中结合实际项目需求进行调试和验证,以更好地掌握相关技术。
内容概要:Rust是一种由Mozilla研究院开发的现代系统编程语言,专注于安全、并发和性能。其设计哲学是“零成本抽象”,即在不影响性能的前提下提供高级抽象。Rust通过所有权系统确保内存安全,避免了垃圾回收的需求,有效防止了悬垂指针、数据竞争和无效内存访问等问题。它提供了强大的并发原语,如线程、通道和原子操作,使并发编程更加简单和安全。此外,Rust编译为机器码,性能接近C/C++,并且支持多种操作系统和架构,包括Windows、Linux、macOS以及嵌入式系统。Rust还拥有活跃的社区和丰富的生态系统,提供了大量涵盖多个领域的库和工具。Rust适用于高性能和安全性的系统级应用,如操作系统、数据库、网络服务器和嵌入式系统,同时也被广泛应用于WebAssembly、区块链和人工智能等领域。; 适合人群:对系统编程感兴趣,尤其是希望在保证性能的同时提升代码安全性的开发者。; 使用场景及目标:①需要开发高性能、安全的系统级应用,如操作系统、数据库、网络服务器等;②希望深入理解内存管理和并发编程的最佳实践;③探索WebAssembly、区块链和人工智能等新兴技术领域。; 阅读建议:Rust不仅适合有经验的系统程序员,也适合希望通过学习现代编程语言提升技能的新手。官方教程《The Rust Programming Language》、实践指南《Rust by Example》和练习项目《Rustlings》都是很好的学习资源,建议结合这些资源进行实践和调试。
内容概要:本文介绍了一种基于一致性算法的直流微电网均流均压二级控制方案。该方案采用分布式二级控制器,通过邻居间的通信来计算控制动作,从而实现高效稳定的均流和均压控制。文中详细讨论了恒功率负载平衡点的存在条件,并介绍了即插即用特性的实现。此外,通过MATLAB/Simulink仿真验证了该方案的电压稳定性和鲁棒性。 适合人群:从事电力电子、微电网控制领域的研究人员和技术人员,尤其是对分布式控制系统感兴趣的读者。 使用场景及目标:适用于直流微电网的设计与优化,旨在提高系统的稳定性和效率,特别是在应对非线性负载和突发扰动的情况下。 其他说明:该方案在理论和实践中展现了显著的优势,如更高的均流精度和更快的动态响应时间。然而,仿真运行时间较长,需考虑计算资源的分配。
电子仿真教程,从基础到精通,每个压缩包15篇教程,每篇教程5000字以上。
内容概要:本文档《互联网大厂200道高频Javascript面试题.pdf》涵盖了广泛的JavaScript知识点,针对200道高频面试题进行了详细解析。内容涉及JavaScript的核心概念(如闭包、原型链、事件循环)、异步编程(如Promise、async/await)、数据类型(如BigInt、Symbol)、DOM操作(如EventTarget、MutationObserver)、性能优化(如防抖、节流)、以及最新的ES提案特性(如import.meta、top-level await)。每个问题不仅提供了简明的答案,还深入探讨了背后的原理和应用场景,帮助读者全面掌握JavaScript的各种特性和最佳实践。 适合人群:具备一定编程基础,特别是对JavaScript有初步了解的前端开发人员,以及准备面试互联网大厂的求职者。 使用场景及目标:①巩固JavaScript基础知识,理解语言内部机制;②掌握常见面试题及其解答技巧,为技术面试做准备;③通过实际案例和代码示例加深对JavaScript特性的理解,提高编程能力。 阅读建议:此资源内容详实,建议读者根据自身水平选择重点章节进行学习,同时结合实际项目或练习题进行实践,以达到更好的学习效果。对于复杂的概念,可以多次阅读并查阅相关资料,确保彻底理解。
内容概要:本文详细介绍了C#编程语言的基础知识和学习路径。首先阐述了C#的背景和优势,强调其广泛的应用领域和良好的就业前景。接着指导读者如何准备学习环境,包括安装Visual Studio等开发工具。文中深入讲解了C#的基础语法,如数据类型、运算符、流程控制语句等,并探讨了面向对象编程的核心概念,包括类与对象、封装、继承、多态等。此外,还介绍了异常处理机制,并通过一个控制台版的学生管理系统项目,帮助读者将理论应用于实践。最后,推荐了一系列学习资源,鼓励读者持续学习和探索C#的高级特性。 适合人群:对编程有兴趣的初学者,尤其是希望从事软件开发或提升编程技能的人士。 使用场景及目标:①帮助读者从零开始系统学习C#,掌握基本语法和核心概念;②通过实战项目巩固所学知识,培养解决实际问题的能力;③为后续深入学习C#的高级特性和应用领域打下坚实基础。 其他说明:本文不仅提供了详尽的知识点讲解,还注重实践操作和项目经验积累,适合自学或作为培训教材使用。建议读者跟随文章步骤逐步实践,并利用推荐的学习资源深化理解。
内容概要:本文详细介绍了使用COMSOL软件建立液氮压裂的热-流-固-损伤耦合模型的方法和技术细节。液氮压裂作为一种环保高效的油气开采方法,能够利用低温特性减少地层污染并提高裂缝扩展效率。文中探讨了模型的关键组件,如传热、达西流、固体力学以及自定义的损伤演化方程,并展示了如何将这些元素整合在一个统一的多物理场环境中进行仿真。此外,还讨论了网格划分、求解器设置、边界条件处理等方面的具体实现方法,以及如何通过后处理手段来分析和展示仿真结果。 适合人群:从事油气田开发、地质工程、计算力学等相关领域的科研人员和技术专家。 使用场景及目标:适用于需要深入理解液氮压裂过程中复杂的物理机制的研究项目,旨在为优化压裂工艺提供理论支持和技术指导。 其他说明:文中提供了大量具体的数学公式和代码片段,帮助读者更好地理解和重现所描述的技术流程。同时强调了不同参数选择对于最终仿真结果的影响,提醒使用者注意实际应用中的各种挑战。
内容概要:本文探讨了AI如何重塑企业价值,特别是通过DeepSeek和Manus这两个技术的推动。DeepSeek以其低成本、高质量的特性,打破了AI应用的技术和成本壁垒,实现了AI赋能平权。Manus作为通用智能体,通过全链路自主执行和多智能体协同架构,显著提升了企业效率并降低了成本。文章详细介绍了AI在多个行业(如金融分析、人力资源、零售运营等)的具体应用案例,展示了AI如何通过数据驱动、自动化和智能化手段,帮助企业实现降本增效、商业模式创新和产品迭代。此外,文中还提出了企业在拥抱AI过程中面临的挑战和应对策略,强调了数据基础、技术选择和组织能力建设的重要性。 适合人群:企业高管、AI技术从业者、数字化转型顾问及对AI感兴趣的创业者。 使用场景及目标:①了解AI技术在企业中的应用场景及其带来的变革;②为企业制定AI战略和实施路径提供参考;③帮助企业识别潜在的AI赋能机会,优化业务流程,提升竞争力。 其他说明:文章通过大量实际案例和数据支持,强调了AI技术在企业中的巨大潜力和现实可行性。同时,提醒企业在拥抱AI时需谨慎规划,避免盲目跟风,确保AI项目的成功落地。
c语言学习资料,共208页
内容概要:本文详细探讨了基于人工势场的无人车避障路径规划算法。主要内容包括三个主要势场的建立及其MATLAB代码实现:引力势场用于吸引无人车向目标点移动;障碍车斥力势场用于使无人车避开障碍物;道路边界势场确保无人车保持在车道内行驶。此外,文中还介绍了如何通过调整不同势场的增益系数、引入朝向因子和动量项等手段优化路径规划性能,提高路径平滑性和安全性。最终形成了完整的路径规划流程,即计算合力、确定方向并迭代推进,使得无人车能够在复杂环境中顺利导航。 适合人群:对无人驾驶技术和路径规划算法感兴趣的科研人员、工程师及高校相关专业学生。 使用场景及目标:适用于模拟和实际测试无人车在静态或动态环境中的避障能力和路径选择行为,旨在提高无人车的安全性和智能水平。 其他说明:文中提供的MATLAB代码仅为简化版本,实际应用中可根据具体需求进一步调整和完善。
内容概要:本文详细探讨了分布式电源(如光伏、风能、燃料电池等)接入电网时对电压产生的影响。通过具体的潮流计算模型,展示了不同类型的分布式电源(DG)在接入电网时所采用的不同节点类型(PQ节点、PV节点等),并分析了它们对电压稳定性的影响。文中还提供了基于Python的Pandapower库构建的测试电网实例,以及MATLAB中的节点类型动态切换逻辑,进一步解释了不同节点类型在实际应用中的表现及其优缺点。 适合人群:从事电力系统研究、分布式能源规划的技术人员和研究人员。 使用场景及目标:帮助技术人员理解分布式电源接入电网时的电压波动机制,优化分布式电源的接入方式,提高电网电压稳定性和可靠性。 其他说明:文章强调了在进行电网规划时,应根据实际情况选择合适的节点类型,避免盲目依赖理想化模型。同时,提出了混合模式作为一种有效的解决方案,能够在不同工况下保持较好的电压质量。