Tomcat 禁用不安全的 HTTP 请求

Tomcat 禁用不安全的 HTTP 请求

一、配置 tomcat 的 web.xml 文件

  WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制
  HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:
  OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送’*’的请求来测试服务器的功能性
  HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。 
  GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问
  POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改 
  PUT 向指定资源位置上传其最新内容 
  DELETE 请求服务器删除Request-URI所标识的资源 
  TRACE 回显服务器收到的请求,主要用于测试或诊断 
  CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务 
  方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented) 
  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法
  HTTP的访问中,一般常用的两个方法是:GET和POST,其实主要是针对DELETE等方法的禁用,有两种方式:

在配置文件中禁用不需要的 HTTP 请求:

<security-constraint>
    <web-resource-collection>
        <url-pattern>/*url-pattern>
        <http-method>PUThttp-method>
        <http-method>DELETEhttp-method>
        <http-method>HEADhttp-method>
        <http-method>OPTIONShttp-method>
        <http-method>TRACEhttp-method>
    web-resource-collection>
    <auth-constraint>auth-constraint>
security-constraint>

修改应用中的 web.xml 就只针对本应用起作用,修改 tomcat 中的 web.xml 就可以对启动在该 tomcat 下所有的应用起作用

二、SpringBoot项目禁用不安全HTTP请求

spring boot的容器是内嵌的,是没有web.xml给我们配置的,所有的配置都是在properties文件中进行配置的,所以我们的思路也是在properties文件中增加tomcat的相关配置

# 解决不安全的HTTP方法漏洞
server.tomcat.port-header=HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND

也可以修改tomcat启动类:

@Configuration
public class TomcatConfig {

    @Bean
    public EmbeddedServletContainerFactory servletContainer() {
        TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        return tomcat;
    }
}

你可能感兴趣的:(Tomcat漏洞)