扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 精选 >Springboot怎么使用内置tomcat禁止不安全HTTP
  • 557

0
分享到

Springboot怎么使用内置tomcat禁止不安全HTTP

2023-06-08 08:06:27 557人浏览 独家记忆
摘要

本文小编为大家详细介绍“SpringBoot怎么使用内置Tomcat禁止不安全Http”,内容详细,步骤清晰,细节处理妥当,希望这篇“springboot怎么使用内置tomcat禁止不安全HTTP”文章能帮助大家解决疑惑,下面跟着小编的思路

本文小编为大家详细介绍“SpringBoot怎么使用内置Tomcat禁止不安全Http”,内容详细,步骤清晰,细节处理妥当,希望这篇“springboot怎么使用内置tomcat禁止不安全HTTP”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。

Springboot 内置tomcat禁止不安全HTTP方法

1、在tomcat的WEB.xml中可以配置如下内容

让tomcat禁止不安全的HTTP方法

<security-constraint>     <web-resource-collection>        <url-pattern>/*</url-pattern>        <http-method>PUT</http-method>     <http-method>DELETE</http-method>     <http-method>HEAD</http-method>     <http-method>OPTIONS</http-method>     <http-method>TRACE</http-method>     </web-resource-collection>     <auth-constraint>     </auth-constraint>  </security-constraint>  <login-config>    <auth-method>BASIC</auth-method>  </login-config>

2、Spring Boot使用内置tomcat

没有web.xml配置文件,可以通过以下配置进行,简单来说就是要注入到Spring容器

@Configurationpublic class TomcatConfig {     @Bean    public EmbeddedServletContainerFactory servletContainer() {        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){    @Override   public void customize(Context context) {    SecurityConstraint constraint = new SecurityConstraint();    SecurityCollection collection = new SecurityCollection();    //http方法    collection.addMethod("PUT");    collection.addMethod("DELETE");    collection.addMethod("HEAD");    collection.addMethod("OPTIONS");    collection.addMethod("TRACE");    //url匹配表达式    collection.addPattern("/*");    constraint.addCollection(collection);    constraint.setAuthConstraint(true);    context.addConstraint(constraint );        //设置使用httpOnly    context.setUseHttpOnly(true);       }        });        return tomcatServletContainerFactory;    } }

启用不安全的HTTP方法

问题描述:

可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。

"启用了不安全的HTTP方法:OPTIONS /system HTTP/1.1Allow: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

上述方法的用途:

  • Options、Head、Trace:主要由应用程序来发现和跟踪服务器支持和网络行为;

  • Get:检索文档;

  • Put和Post:将文档提交到服务器;

  • Delete:销毁资源或集合

  • Mkcol:创建集合

  • PropFind和PropPatch:针对资源和集合检索和设置属性;

  • Copy和Move:管理命名空间上下文中的集合和资源;

  • Lock和Unlock:改写保护

很显然上述操作明细可以对web服务器进行上传、修改、删除等操作,对服务造成威胁。虽然WebDAV有权限控制但是网上一搜还是一大堆的攻击方法,所以如果不需要这些方法还是建议直接屏蔽就好了。

解决方案:

在web应用中的web.xml加上如下内容

<security-constraint>        <web-resource-collection>            <web-resource-name>disp</web-resource-name>            <url-pattern>/*</url-pattern>            <http-method>PUT</http-method>            <http-method>DELETE</http-method>            <http-method>HEAD</http-method>            <http-method>OPTIONS</http-method>            <http-method>TRACE</http-method>            <http-method>PATCH</http-method>        </web-resource-collection>        <auth-constraint></auth-constraint>    </security-constraint>

标签介绍:

  • <security-constraint>用于限制对资源的访问;

  • <auth-constraint>用于限制那些角色可以访问资源,这里设置为空就是禁止所有角色用户访问;

  • <url-pattern>指定需要验证的资源

  • <http-method>指定那些方法需要验证

读到这里,这篇“Springboot怎么使用内置tomcat禁止不安全HTTP”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注编程网精选频道。

--结束END--

本文标题: Springboot怎么使用内置tomcat禁止不安全HTTP

本文链接: https://lsjlt.com/news/252734.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

猜你喜欢
  • Springboot怎么使用内置tomcat禁止不安全HTTP
    本文小编为大家详细介绍“Springboot怎么使用内置tomcat禁止不安全HTTP”,内容详细,步骤清晰,细节处理妥当,希望这篇“Springboot怎么使用内置tomcat禁止不安全HTTP”文章能帮助大家解决疑惑,下面跟着小编的思路...
    99+
    2023-06-08
  • Springboot 使用内置tomcat禁止不安全HTTP的方法
    Springboot 内置tomcat禁止不安全HTTP方法 1、在tomcat的web.xml中可以配置如下内容 让tomcat禁止不安全的HTTP方法 <securit...
    99+
    2024-04-02
  • 禁止SpringBoot在项目中使用Tomcat容器的原理是什么
    这篇文章主要讲解了“禁止SpringBoot在项目中使用Tomcat容器的原理是什么”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“禁止SpringBoot在项目中使用Tomcat容器的原理是...
    99+
    2023-07-02
  • idea怎么使用外置tomcat配置springboot
    本篇内容介绍了“idea怎么使用外置tomcat配置springboot”的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有所成! 创建一个m...
    99+
    2023-06-08
  • Springboot内置的工具类CollectionUtils怎么使用
    这篇“Springboot内置的工具类CollectionUtils怎么使用”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“S...
    99+
    2023-07-04
  • 使用云主机不安全怎么办
    如果您认为云主机不安全,可以采取以下措施来增强安全性:1. 使用强密码:确保云主机账号和相关服务的密码足够复杂和安全,包括字母、数字...
    99+
    2023-09-20
    云主机
  • SpringBoot中怎么使用Profiles配置不同环境
    在SpringBoot中,可以使用application.properties或application.yml文件来配置不同环境的属...
    99+
    2024-03-07
    SpringBoot
  • 云服务器安全设置器怎么使用
    云服务器安全设置器是一个非常方便实用的工具,可以帮助用户在云服务器上添加和配置安全策略以及保护用户的数据。以下是一些使用云服务器安全设置器的示例步骤: 打开“我的电脑”中的“管理”选项卡,然后在左侧导航栏中选择“服务”。 在服务列表中选...
    99+
    2023-10-26
    服务器
  • 不限内容美国VPS租用怎么确保数据安全
    1、配置防火墙在忆 速 云yisuVPS中配置防火墙,限制外部访问,防止恶意攻击和入侵。2、使用SSH加密连接使用SSH等加密协议进...
    99+
    2023-05-13
    不限内容美国VPS 美国VPS VPS
  • php全局变量在函数内不能使用怎么办
    本教程操作环境:windows7系统、PHP7.1版,DELL G3电脑一般情况下全局变量在函数内是不能使用,但有时我们就必须要在函数内使用全局变量,这要怎么办?PHP提供了两种解决方法: global关键字和$GLOBALS超全局变量。方...
    99+
    2018-03-28
    php 全局变量 函数
  • 云服务器安全设置器怎么使用的
    一、管理界面的使用 在使用云服务器安全设置器之前,首先需要创建一个云服务器管理员账户,并添加一个云服务器管理员角色。这个角色应该是由用户手动创建的,用户可以通过该角色来管理云服务器的各种设置和安全性。 在管理界面中,用户可以使用以下功能进...
    99+
    2023-10-27
    服务器
  • 云服务器安全设置器怎么使用教程
    一、设置访问权限 首先,用户需要为云服务器分配一个访问权限,以确保服务器上的所有用户都可以访问云服务器资源。访问权限可以通过控制面板或管理控制台来实现。 创建一个新用户账户 在控制面板中,创建一个新用户账户,并将其添加到管理列表中。然...
    99+
    2023-10-28
    服务器 教程
  • ASP中怎么配置和使用HTTPS/SSL进行安全通信
    要配置和使用HTTPS/SSL进行安全通信,可以按照以下步骤进行操作: 获取SSL证书:首先需要获取SSL证书,可以从证书颁发机...
    99+
    2024-04-09
    ASP
  • 轻量应用服务器怎么设置安全组成界面显示器不亮
    应用程序控制:应用程序控制是指在应用程序的生命周期内,对应用程序的访问和控制。轻量应用服务器可以为应用程序提供应用程序控制,包括应用程序名称、版本号、文件夹、访问权限等。 权限控制:轻量应用服务器应该实现权限控制,以确保只有授权的用户才能...
    99+
    2023-10-27
    不亮 显示器 界面
  • 轻量应用服务器怎么设置安全组成界面显示不出来
    设置轻量应用服务器安全组 轻量应用服务器通常需要设置安全组以保护数据免受黑客攻击。在安全组中,可以将数据存储在本地存储中,以便黑客无法访问到。同时,可以使用访问控制列表(ACL)来限制对数据的访问权限,确保只有授权用户可以访问数据。 ...
    99+
    2023-10-28
    界面 服务器 不出来
  • WinXP系统开机自动注销使用安全模式也不行怎么办
      1、找一台正常的XP系统电脑,将C:\Windows\system32目录下的userinit.exe拷贝一份出来,复制到问题电脑相同目录   2、重新启动机器,虽然很慢,但能进入系统了。   3、首先关闭系统还原,...
    99+
    2023-06-04
    WinXP 开机 自动注销 系统 模式
  • oracle不能使用EM怎么办 oracle11g如何正确安装配置EM
    oracle不能使用EM的解决方法,具体内容如下 不能登录EM,执行emca -config dbcontrol db 不知道总是默认1522的端口号,无奈,google一番,从下面第二步开始执行。。。(...
    99+
    2024-04-02
软考高级职称资格查询
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作