Springboot怎么使用内置tomcat禁止不安全HTTP

WBOY

发布时间：2023-05-12 11:49:05

2891人浏览过

来源于亿速云

转载

Springboot 内置tomcat禁止不安全HTTP方法

1、在tomcat的web.xml中可以配置如下内容

让tomcat禁止不安全的HTTP方法

  
     
      /*  
      PUT  
   DELETE  
   HEAD  
   OPTIONS  
   TRACE  
     
     
     
  
  
  BASIC

2、Spring boot使用内置tomcat

没有web.xml配置文件，可以通过以下配置进行，简单来说就是要注入到Spring容器中

@Configuration
public class TomcatConfig { 
    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbeddedServletContainerFactory();
        tomcatServletContainerFactory.addContextCustomizers(new TomcatContextCustomizer(){
 
   @Override
   public void customize(Context context) {
    SecurityConstraint constraint = new SecurityConstraint();
    SecurityCollection collection = new SecurityCollection();
    //http方法
    collection.addMethod("PUT");
    collection.addMethod("DELETE");
    collection.addMethod("HEAD");
    collection.addMethod("OPTIONS");
    collection.addMethod("TRACE");
    //url匹配表达式
    collection.addPattern("/*");
    constraint.addCollection(collection);
    constraint.setAuthConstraint(true);
    context.addConstraint(constraint );
    
    //设置使用httpOnly
    context.setUseHttpOnly(true);    
   }
        });
        return tomcatServletContainerFactory;
    } 
}

启用不安全的HTTP方法

问题描述：

可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。

"启用了不安全的HTTP方法：OPTIONS /system HTTP/1.1Allow: HEAD, PUT, DELETE, TRACE, OPTIONS, PATCH

上述方法的用途：

options、head、trace：主要由应用程序来发现和跟踪服务器支持和网络行为；
Get：检索文档；
Put和Post：将文档提交到服务器；
Delete：销毁资源或集合；
Mkcol：创建集合
PropFind和PropPatch：针对资源和集合检索和设置属性；

Grokipedia
xAI推出的AI在线百科全书

下载
Copy和Move：管理命名空间上下文中的集合和资源；
Lock和Unlock：改写保护

很显然上述操作明细可以对web服务器进行上传、修改、删除等操作，对服务造成威胁。虽然WebDAV有权限控制但是网上一搜还是一大堆的攻击方法，所以如果不需要这些方法还是建议直接屏蔽就好了。

解决方案：

在web应用中的web.xml加上如下内容


        
            disp
            /*
            PUT
            DELETE
            HEAD
            OPTIONS
            TRACE
            PATCH

标签介绍：

用于限制对资源的访问；
用于限制那些角色可以访问资源，这里设置为空就是禁止所有角色用户访问；
指定需要验证的资源
指定那些方法需要验证

在Java里如何配置项目默认编码为UTF-8_Java字符集环境设置解析

如何解决 Glide 加载 HTTP 图片不显示的问题

Android App 中 Glide 加载 HTTP 图片失败的解决方案

如何在 Spring REST 应用中高效并行调用多个子接口

Java如何实现网络音频流播放 Java播放网络电台URL音频流【教程】

相关标签:

springboot tomcat tomcat spring spring boot 命名空间 xml 堆 copy delete http

本站声明：本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

上一篇：springboot如何读取resources下的文件下一篇：SpringBoot中如何使用HTTP客户端工具Retrofit

作者最新文章

夸克浏览器AI搜索最新版教学_探索夸克AI搜索的隐藏功能

2025-10-24 20:48

夸克浏览器怎么用AI搜索_夸克AI搜索正确提问方式教学

2025-10-25 23:12

微信朋友圈怎么设置定时发布微信朋友圈定时发送图文教程

2026-01-02 09:14

微信朋友圈怎么定时发送微信朋友圈定时发布设置方法【教程】

2026-01-06 09:59

苹果手机怎么定时发朋友圈 iPhone微信朋友圈自动发布方法【步骤】

2026-01-08 11:11

微信朋友圈能定时发送吗微信朋友圈定时发送功能开启方法

2026-01-09 08:15

微信朋友圈草稿箱怎么用微信朋友圈定时发送隐藏技巧

2026-01-10 08:41

微信朋友圈定时发送是真的吗微信朋友圈预约发布实现方法

2026-01-15 10:19

微信定时发朋友圈怎么弄微信朋友圈自动推送设置流程

2026-01-21 04:27

微信如何定时发朋友圈微信朋友圈自动定时发送设置步骤【汇总】

2026-01-23 10:22

热门AI工具

DeepSeek

幻方量化公司旗下的开源大模型平台

AI 编程开发 AI 聊天问答

豆包大模型

字节跳动自主研发的一系列大型语言模型

AI 编程开发 AI大模型

通义千问

阿里巴巴推出的全能AI助手

AI 编程开发 Agent智能体

腾讯元宝

腾讯混元平台推出的AI助手

文档处理 AI 聊天问答

文心一言

文心一言是百度开发的AI聊天机器人，通过对话可以生成各种形式的内容。

AI 编程开发 AI 文本写作

讯飞写作

基于讯飞星火大模型的AI写作工具，可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

AI 文本写作中文写作

即梦AI

一站式AI创作平台，免费AI图片和视频生成。

图片拼接

ChatGPT

最最强大的AI聊天机器人程序，ChatGPT不单是聊天机器人，还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

AI 编程开发 AI 文本写作

智谱清言 - 免费全能的AI助手

AI 编程开发 Agent智能体

相关专题

如何配置Tomcat环境变量

配置Tomcat环境变量需要在系统中添加CATALINA_HOME变量，并将Tomcat的安装路径添加到PATH变量中。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

114

2023.10.26

idea如何集成Tomcat

idea集成Tomcat的步骤：1、添加Tomcat服务器配置；2、配置项目部署；3、运行Tomcat服务器；4、访问项目；5、注意事项；6、关闭Tomcat服务器。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

169

2024.02.23

怎么查看Tomcat源代码

查看Tomcat源代码的步骤：1、下载Tomcat源代码；2、在IDEA中导入Tomcat源代码；3、查看源代码；4、理解Tomcat的工作原理；5、参与社区和贡献；6、注意事项；7、持续学习和更新；8、使用工具和插件。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

2024.02.23

常见的tomcat漏洞有哪些

常见的tomcat漏洞有：1、跨站脚本攻击；2、跨站请求伪造；3、目录遍历漏洞；4、缓冲区溢出漏洞；5、配置漏洞；6、第三方组件漏洞。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

164

2024.02.23

tomcat日志乱码怎么解决

tomcat日志乱码的解决办法：1、修改tomcat的日志编码设置；2、检查ide的编码设置；3、检查操作系统的编码设置；4、使用过滤器处理日志；5、检查外部系统的编码设置；6、检查文件编码方式等等。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

151

2024.02.23

weblogic和tomcat有哪些区别

weblogic和tomcat的区别：1、功能；2、性能；3、规模；4、价格；5、安全性；6、配置和管理；7、社区支持；8、集成能力；9、升级和更新；10、可靠性。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

198

2024.02.23

tomcat和nginx有哪些区别

tomcat和nginx的区别：1、应用领域；2、性能；3、功能；4、配置；5、安全性；6、扩展性；7、部署复杂性；8、社区支持；9、成本；10、日志管理。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

234

2024.02.23

tomcat启动闪退怎么解决

tomcat启动闪退的解决办法：1、检查java环境；2、检查环境变量配置；3、检查端口被占用；4、检查配置文件编码；5、检查启动时需要的配置文件；6、检查相关文件是否丢失；7、检查防火墙和杀毒软件设置。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

161

2024.02.23

C++ 设计模式与软件架构

本专题深入讲解 C++ 中的常见设计模式与架构优化，包括单例模式、工厂模式、观察者模式、策略模式、命令模式等，结合实际案例展示如何在 C++ 项目中应用这些模式提升代码可维护性与扩展性。通过案例分析，帮助开发者掌握如何运用设计模式构建高质量的软件架构，提升系统的灵活性与可扩展性。

2026.01.30

热门下载

网站特效

网站源码

网站素材

前端模板