tomcat 禁用trace,put,head,post,delete 請求方式

原創 samz5906 2018-08-27 00:02

背景 

 項目中請求方式只有GET,POST請求,處於安全考慮準備禁用TRACE,HEAD,PUT,DELETE,OPTIONS請求方式。

實現

 在tomcat的web.xml配置文件最後加上請求方式限制,配置如下,本次使用的tomcat8

<security-constraint>  
        <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
	    <http-method>HEAD</http-method>  			
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>
        </web-resource-collection>  
        <auth-constraint>  
        </auth-constraint>  
    </security-constraint>           

 這裏主要目的是限制服務器只接受GET,POST請求,不做其他權限限制,本配置即可滿足。

問題

 經過測試,除TRACE請求其他請求方式都順利攔截。TRACE請求返回的是405 method not allowed,也就是說TRACE沒有被攔截。通過查資料發現Connector 中有個allowTrace屬性,這裏默認禁用了trace請求,將allowTrace設置爲true就可以限制TRACE請求了,至於爲什麼,我的理解是Connector的優先級高於 security-constraint的配置。

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443"  allowTrace="true"/>

以上都是個人理解,歡迎拍磚!




發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

【java基礎(五十五)】泛型的約束與侷限(二)

不能構造泛型數組 就想不能實例化一個泛型實例一樣,也不能實例化數組。不過原因有所不同,畢竟數組會填充null值,構造時看上去是安全的。不過,數組本身也有類型,用來監控存儲在虛擬機中的數組。這個類型會被擦除。如: public st

静心事成 2020-07-08 11:18:09

《架構探險》學習之總體框建框架

搭建輕量級Java Web框架快速搭建開發框架如何加載配置文件如何實現一個簡單的 IOC 容器如何加載指定的類如何初始化框架 *註解開發 目標:打造一個輕量級的 MVC 框架,Controller 是MVC的核心,類似於 SpringMV

K~hat 2020-07-15 13:41:29

反射獲取Class對象的四種方法

1、通過ClassLoader的loadClass方法。 package com.IO; public class ClassLoaderTest { public static void main(String[]

LVAmber 2020-07-08 12:00:21

Java package包,導入包import

package包 包類似於操作系統的文件夾 作用: 1.包可以提供文件(.class)的分類管理 2.提供獨立的命名空間,防止命名衝突 3.設置了空間的訪問權限的控制(可以提供很好的封裝性) 包的聲明:

LVAmber 2020-07-08 12:00:21

Java俄羅斯輪盤死亡遊戲

俄羅斯輪盤是一種自殺式玩命遊戲。參與者在左輪手槍的彈巢放入一顆子彈,之後將子彈盤旋轉,然後關上。參與者輪流把手槍對着自己的頭,按下扳機;直至有人中槍,或不敢按下扳機爲止。傳說這種“遊戲”源自十九世紀俄羅斯,由監獄的獄卒強迫囚犯進行

LVAmber 2020-07-08 12:00:21

nginx windows配置

#user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs

八点二十四分 2020-07-08 11:46:48

java獲取某個月最後一天

代碼如下: public static String getLastDayOfMonth(int year,int month) { Calendar calendar = Calendar.getInst

baomw 2020-07-08 11:43:17

談談自定義註解及相關開發實踐

說道自定義註解,可能大家都不太陌生,實際開發過程中可能多多少少也會用到,今天這邊就通過自定義註解結合反射,分享一些實際開發經驗。 好吧,關於什麼是自定義註解,以及元註解什麼什麼的我這邊就不一一介紹了,大家自行百度,內容也都比較簡單

baomw 2020-07-08 11:43:17

【java基礎(五十四)】泛型的約束與侷限(一)

在使用Java泛型時需要考慮一些限制,大多數限制都是由類型擦除引起的。 不能用基本類型實例化類型參數 不能用類型參數代替基本類型。因此,沒有Pair<double>,只有Pair<Double>。當然,其原因是類型擦除。擦除之後,

静心事成 2020-07-08 11:18:07

【java基礎(五十三)】類型擦除、翻譯泛型

虛擬機沒有泛型類型對象。所有對象都屬於普通類。 類型擦除 無論何時定義一個泛型類型,都自動提供了一個相應的原始類型(raw type)。原始類型的名字就是刪去類型參數後的泛型類型名。擦除(erased)類型變量,並替換爲限定類型(

静心事成 2020-07-08 11:18:07

dom4j解析.xml文件

xml 是可擴展的標記性語言。xml 的主要作用有: 1、用來保存數據,而且這些數據具有自我描述性 2、它還可以做爲項目或者模塊的配置文件 3、還可以做爲網絡傳輸數據的格式(現在 JSON 爲主)。 CDATA 語法可以告訴 xml 解析

ζMonster° 2020-07-08 10:45:03

生產者消費者ReentrantLock 版本

package com.example.demo.test; import java.util.concurrent.TimeUnit; import java.util.concurrent.locks.Condition; imp

诗和远方zdx 2020-07-08 10:07:23

生產者消費者阻塞隊列版

package com.example.demo.test; import ch.qos.logback.core.util.TimeUtil; import java.util.concurrent.ArrayBlockingQu

诗和远方zdx 2020-07-08 10:07:23

學妹問我 JDK1.8 的新特性,我這樣幫她總結

0 引子 學妹:師兄師兄!我去面試被問到 JDK1.8 的新特性這個問題,不知道怎麼回答啊!哭了哭了,師兄能幫我總結一下 JDK1.8 的新特性嗎? 我:小意思!學妹你先坐下,且讓師兄爲你慢慢講解(嘻嘻) 1 前言 瞭解 JDK1

Geffin 2020-07-08 10:04:53

博主在阿里筆試中拿了0分,竟是因爲分不清楚 Java 輸入類 nextLine 與 next 兩個方法的區別

前言 以前做算法題,都是實現一個方法,需要的參數會在方法參數中直接給出,而且需要的返回值直接在方法中 return 就好了。但是,這次阿里筆試,讓博主遭遇百萬點暴擊,需要的參數居然要到輸入流中讀取,而且返回結果居然直接輸出到控制檯

Geffin 2020-07-08 10:04:49