Wie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?

Der in Springboot integrierte Tomcat verbietet unsichere HTTP-Methoden 🎜#

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
   <http-method>DELETE</http-method>  
   <http-method>HEAD</http-method>  
   <http-method>OPTIONS</http-method>  
   <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

2. Spring Boot verwendet integriertes Tomcat

Es gibt kein Web.

@Configuration
public class TomcatConfig { 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
   @Override
   public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection collection = new SecurityCollection();
    //http方法
    collection.addMethod("PUT");
    collection.addMethod("DELETE");
    collection.addMethod("HEAD");
    collection.addMethod("OPTIONS");
    collection.addMethod("TRACE");
    //url匹配表达式
    collection.addPattern("/*");
    constraint.addCollection(collection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint );
    
    //设置使用httpOnly
    context.setUseHttpOnly(true);    
   }
        });
        return tomcatServletContainerFactory;
    } 
}

Unsichere HTTP-Methoden aktivieren

#Problembeschreibung: # 🎜🎜#

Webseiten, Skripte und Dateien können auf den Webserver hochgeladen, geändert oder gelöscht werden.

"Unsichere HTTP-Methoden aktiviert: OPTIONS /system HTTP/1.1Zulassen: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

Verwendung der oben genannten Methode:# 🎜🎜 #

Optionen, Head, Trace: werden hauptsächlich von Anwendungen verwendet, um Serverunterstützung und Netzwerkverhalten zu ermitteln und zu verfolgen;

#🎜 🎜#

Put and Post: Senden Sie das Dokument an den Server;

Delete: Zerstören Sie Ressourcen oder Sammlungen; und legen Sie Eigenschaften fest;
• #🎜 🎜#
  Kopieren und verschieben: Sammlungen und Ressourcen im Namespace-Kontext verwalten; Sperren und Entsperren: Überschreibschutz

• Offensichtlich der obige Vorgang Details können auf dem Webserver hochgeladen, geändert, gelöscht und andere Vorgänge ausgeführt werden, was eine Bedrohung für den Dienst darstellt, obwohl WebDAV über eine Berechtigungskontrolle verfügt. Eine Suche im Internet zeigt jedoch immer noch viele Angriffsmethoden, wenn Sie diese also nicht benötigen Methoden, es wird empfohlen, sie einfach direkt zu web.xml hinzuzufügen

<security-constraint>
        <web-resource-collection>
            <web-resource-name>disp</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>TRACE</http-method>
            <http-method>PATCH</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>

• Tag-Einführung:

• b83d52fcdbed6c12be0c4c5f37a7d350 wird verwendet, um den Zugriff auf Ressourcen zu beschränken. # 🎜🎜#

fc0069494b7e459eab1bf2c31c9d7aac dass allen Rollenbenutzern der Zugriff untersagt ist; #
• b190c47e8c533223e36c741af28a3317Geben Sie die Methoden an, die überprüft werden müssen

  # 🎜🎜#

Das obige ist der detaillierte Inhalt vonWie verwendet Springboot das integrierte Tomcat, um unsicheres HTTP zu verbieten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!