web安全—禁用 WebDAV，或者禁止不需要的 HTTP 方法

WebDAV

WebDAV （Web-based Distributed Authoring and Versioning）是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展（就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法），使得应用程序可以直接将文件写到 Web Server 上，并且在写文件时候可以对文件加锁，写完后对文件解锁，还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。
现在主流的WEB服务器一般都支持WebDAV，使用WebDAV的方便性，呵呵，就不用多说了吧，用过VS.NET开发ASP.NET应用的朋友就应该 知道，新建/修改WEB项目，其实就是通过WebDAV+FrontPage扩展做到的，下面我就较详细的介绍一下，WebDAV在tomcat中的配 置。

如何禁止

如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢？
解决方法
第一步：修改应用程序的web.xml文件的协议

  
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
   xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"  
    version="2.4"> 

第二步：在应用程序的web.xml中添加如下的代码即可

<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*url-pattern>  
      <http-method>PUThttp-method>  
<http-method>DELETEhttp-method>  
<http-method>HEADhttp-method>  
<http-method>OPTIONShttp-method>  
<http-method>TRACEhttp-method>  
   web-resource-collection>  
   <auth-constraint>  
   auth-constraint>  
 security-constraint>  
 <login-config>  
   <auth-method>BASICauth-method>  
 login-config>