禁用不安全的http方法

时间:2024-03-22 07:22:04

上线很久的项目,后面用curl测出了一个漏洞,不安全的http方法 禁用不安全的http方法

在网上搜索了很多都是一种解决办法,但是我这边都不行,现在我来说说我的解决办法

首先解决OPTIONS的:

修改自己应用的web.xml,添加如下配置:

<security-constraint>  
       <web-resource-collection>  
            <url-pattern>/*</url-pattern>  
            <http-method>PUT</http-method>  
            <http-method>DELETE</http-method>  
            <http-method>HEAD</http-method>  
            <http-method>OPTIONS</http-method>  
            <http-method>TRACE</http-method>  
       </web-resource-collection>  
         <auth-constraint>      
            <role-name>All Role</role-name>   
        </auth-constraint>  
         <user-data-constraint>   
               <transport-guarantee>NONE</transport-guarantee>   
          </user-data-constraint>

 </security-constraint>

也可以配置tomcat下的web.xml,区别是配置应用的web.xml只会作用于这一个应用,而配置tomcat下的web.xml可以作用于该tomcat下的所有应用。


然后再是解决TRACE的:

修改tomcat下conf/server.xml配置如下:

禁用不安全的http方法

然后使用 curl -v -X OPTIONS http://baidu.com 测试OPTIONS的   (http://baidu.cpm 这个是你自己的项目访问路径)

使用 curl -v -X  TRACE  http://baidu.com  测试 TRACE的 (http://baidu.cpm 这个是你自己的项目访问路径)

成功的信息如下:

禁用不安全的http方法


不会在出现 Allow:POST、GET、DELETE、OPTIONS、PUT、HEAD


最后 curl的下载和配置如下链接:

http://blog.csdn.net/qq_21126979/article/details/78690960?locationNum=10&fps=1




相关文章