Spring boot 內置tomcat禁止不安全HTTP方法

本文轉載自查看原文 2019-01-24 14:59 1716 spring

Spring boot 內置tomcat禁止不安全HTTP方法

在tomcat的web.xml中可以配置如下內容，讓tomcat禁止不安全的HTTP方法

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
	  <http-method>DELETE</http-method>  
	  <http-method>HEAD</http-method>  
	  <http-method>OPTIONS</http-method>  
	  <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

Spring boot使用內置tomcat，沒有web.xml配置文件，可以通過以下配置進行，簡單來說就是要注入到Spring容器中

@Configuration
public class TomcatConfig {
 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
			@Override
			public void customize(Context context) {
				SecurityConstraint constraint = new SecurityConstraint();
				SecurityCollection collection = new SecurityCollection();
				//http方法
				collection.addMethod("PUT");
				collection.addMethod("DELETE");
				collection.addMethod("HEAD");
				collection.addMethod("OPTIONS");
				collection.addMethod("TRACE");
				//url匹配表達式
				collection.addPattern("/*");
				constraint.addCollection(collection);
				constraint.setAuthConstraint(true);
				context.addConstraint(constraint );
				
				//設置使用httpOnly
				context.setUseHttpOnly(true);
				
			}
        });
        return tomcatServletContainerFactory;
    }
 
}

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 tomcat關閉不安全的http請求方法 GetShell總結--不安全的HTTP方法啟用了不安全的HTTP方法啟用了不安全的HTTP方法 [輕微]WEB服務器啟用了OPTIONS方法/如何禁止DELETE，PUT，OPTIONS等協議訪問應用程序/tomcat下禁用不安全的http方法 TOMCAT禁用不安全請求方式【研究】curl測試不安全的HTTP請求 BP（burpsuite）測試不安全的HTTP請求 Golang - map並發不安全及解決方法 hashMap的線程不安全