Maison >Java >javaDidacticiel >Comment Springboot utilise-t-il Tomcat intégré pour interdire le HTTP dangereux

Comment Springboot utilise-t-il Tomcat intégré pour interdire le HTTP dangereux

WBOY
WBOYavant
2023-05-12 11:49:052108parcourir

Le Tomcat intégré de Springboot interdit les méthodes HTTP dangereuses

1. Vous pouvez configurer le contenu suivant dans le site Web de Tomcat. Le fichier de configuration peut être configuré via ce qui suit, il doit être injecté dans le conteneur Spring

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
   <http-method>DELETE</http-method>  
   <http-method>HEAD</http-method>  
   <http-method>OPTIONS</http-method>  
   <http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
</security-constraint>  
<login-config>  
  <auth-method>BASIC</auth-method>  
</login-config>

Activer. méthodes HTTP non sécurisées

Description du problème :

Les pages Web et les scripts peuvent être téléchargés, modifiés ou supprimés sur le serveur Web et les documents.

"Les méthodes HTTP non sécurisées sont activées : OPTIONS /system HTTP/1.1Autoriser : HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

Utilisation des méthodes ci-dessus :

Options, Head, Trace : principalement utilisées par les applications Programme pour découvrir et suivre le support du serveur et le comportement du réseau ;

    Get : récupérer des documents ;
  • Put et Post : soumettre des documents au serveur ;
  • Delete : détruire des ressources ou des collections ; : Créer des collections
  • PropFind et PropPatch : récupérer et définir les propriétés des ressources et des collections ;
  • Copier et déplacer : gérer les collections et les ressources dans un contexte d'espace de noms ; De toute évidence, les détails des opérations ci-dessus peuvent télécharger, modifier, supprimer et d'autres opérations sur le serveur Web, ce qui constitue une menace pour le service. Bien que WebDAV dispose d'un contrôle d'autorisation, il existe encore de nombreuses méthodes d'attaque sur Internet, donc si ces méthodes ne le sont pas. nécessaire, il est toujours recommandé de le bloquer directement.
  • Solution :

  • Ajoutez le contenu suivant au Web 
  • fc0069494b7e459eab1bf2c31c9d7aac ici signifie qu'il est interdit à tous les utilisateurs de rôle d'accéder ;
  • 66e1775cbd9d5002635ae3285442ba88Spécifie les ressources qui nécessitent une vérification
  • <

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Cet article est reproduit dans:. en cas de violation, veuillez contacter admin@php.cn Supprimer