處理weblogic、tomcat關閉不安全的http請求
導讀 | 不安全的HTTP方法一般包括:TRACE、PUT、DELETE、COPY 等。其中最常見的為TRACE方法可以回顯伺服器收到的請求,主要用於測試或診斷,惡意攻擊者可以利用該方法進行跨站跟蹤攻擊(即XST攻擊),從而進行網站釣魚、盜取管理員cookie等。 |
禁止不安全的http請求方式PUT、DELETE、HEAD、OPTIONS、TRACE等,只保留GET和POST請求。其中tomcat和weblogic部署解決方案都是在web.xml中新增配置檔案,但格式有所差異,詳情如下:
Tomcat配置方法
1)Tomcat:在web.xml中新增:
<security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <http-method>PATCH</http-method> <http-method>COPY</http-method> <http-method>LINK</http-method> <http-method>UNLINK</http-method> <http-method>PURGE</http-method> <http-method>LOCK</http-method> <http-method>UNLOCK</http-method> <http-method>PROPFIND</http-method> <http-method>VIEW</http-method> </web-resource-collection> <auth-constraint> </auth-constraint> </security-constraint>
weblogic配置方法
2)Weblogic:在web.xml中新增:
<security-constraint> <web-resource-collection> <web-resource-name>sgpssc</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> <http-method>PATCH</http-method> <http-method>COPY</http-method> <http-method>LINK</http-method> <http-method>UNLINK</http-method> <http-method>PURGE</http-method> <http-method>LOCK</http-method> <http-method>UNLOCK</http-method> <http-method>PROPFIND</http-method> <http-method>VIEW</http-method> </web-resource-collection> <auth-constraint/> </security-constraint>
可以透過谷歌瀏覽器的外掛Postman工具檢測,是否修復。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2783050/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 處理 HTTP 請求的註解HTTP
- Tomcat中的容器是如何處理請求的Tomcat
- 【Tomcat】Tomat 處理請求的過程(圖解)Tomcat圖解
- Apache Tomcat如何高併發處理請求ApacheTomcat
- 4、Ktor學習-處理HTTP請求;HTTP
- Tomcat 第四篇:請求處理流程(上)Tomcat
- Laravel 底層是如何處理HTTP請求LaravelHTTP
- 學習tomcat-如何建立連線,處理請求Tomcat
- java 請求HTTP返回json集合,物件處理方式JavaHTTPJSON物件
- 在 .NET 中使用 Flurl 高效處理Http請求HTTP
- 關於在request請求時,處理請求引數的問題
- Angular 記錄 - Rxjs 完整處理一個 Http 請求AngularJSHTTP
- Angular Universal Application 應該處理 HTTP POST 請求嗎?AngularAPPHTTP
- 圖解 Spring:HTTP 請求的處理流程與機制【1】圖解SpringHTTP
- Http請求相關(轉)HTTP
- Tomcat總體架構,啟動流程與處理請求流程Tomcat架構
- 死磕Spring原始碼-MVC處理HTTP分發請求Spring原始碼MVCHTTP
- 請求資料處理
- springmvc處理ajax請求SpringMVC
- Tomcat如何使用執行緒池處理遠端併發請求Tomcat執行緒
- 【SpringBoot + Tomcat】請求到達後端服務程序後的處理過程Spring BootTomcat後端
- 多執行緒應用–Http請求阻塞回撥處理執行緒HTTP
- 多執行緒應用--Http請求阻塞回撥處理執行緒HTTP
- tomcat原始碼分析(第四篇 tomcat請求處理原理解析--Container原始碼分析)Tomcat原始碼AI
- DeferredResult——非同步請求處理非同步
- Kettle通過Http post請求webservice介面以及結果解析處理HTTPWeb
- Spring MVC的請求處理邏輯SpringMVC
- 走進JavaWeb技術世界5:初探Tomcat的HTTP請求過程JavaWebTomcatHTTP
- nginx 如何處理一個請求Nginx
- Go Web如何處理Web請求?GoWeb
- yai 請求預處理指令碼AI指令碼
- Netty(二):如何處理io請求?Netty
- Laravel請求處理管道理解Laravel
- springmvc原始碼 ---DispatcherServlet 處理請求SpringMVC原始碼Servlet
- http請求概述HTTP
- Jsoup http請求JSHTTP
- go http請求GoHTTP
- HTTP的請求過程HTTP