如何在java中的应用程序中禁用不安全的HTTP方法
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何在java中的应用程序中禁用不安全的HTTP方法相关的知识,希望对你有一定的参考价值。
我有一个在Restful webservice和java中开发的Web应用程序。我使用泽西岛图书馆。我的团队在应用程序上运行了Appscan工具。该工具在https:/// AppName /上启用了不安全的HTTP方法。
编辑:1。我想知道如何在这里禁用DELETE方法。 2.当我向服务器发出选项请求时,它不应该在标头中的允许方法中列出删除方法。提前致谢。
答案
在web.xml中定义一个安全约束,在所需的URL模式和给定的HTTP方法上使用空的auth约束。
以下示例限制所有DELETE和TRACE请求,无论URL和用户如何。
<security-constraint>
<web-resource-collection>
<web-resource-name>Restricted HTTP methods.</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
<!-- You can specify multiple HTTP methods here. -->
</web-resource-collection>
<auth-constraint />
</security-constraint>
效果是HTTP 403 Forbidden反应。
以上是关于如何在java中的应用程序中禁用不安全的HTTP方法的主要内容,如果未能解决你的问题,请参考以下文章
[轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
在 Spring 中禁用登录窗口(Http Basic)[重复]