tomcat 禁用trace,put,head,post,delete 请求方式

背景 

 项目中请求方式只有GET,POST请求，处于安全考虑准备禁用TRACE,HEAD,PUT,DELETE,OPTIONS请求方式。

实现

 在tomcat的web.xml配置文件最后加上请求方式限制，配置如下，本次使用的tomcat8

  
          
            /*  
	    HEAD  			
            PUT  
            DELETE  
            OPTIONS  
            TRACE
          
          
          
               

 这里主要目的是限制服务器只接受GET,POST请求，不做其他权限限制，本配置即可满足。

问题

 经过测试，除TRACE请求其他请求方式都顺利拦截。TRACE请求返回的是405 method not allowed，也就是说TRACE没有被拦截。通过查资料发现Connector 中有个allowTrace属性，这里默认禁用了trace请求，将allowTrace设置为true就可以限制TRACE请求了，至于为什么，我的理解是Connector的优先级高于 security-constraint的配置。

以上都是个人理解，欢迎拍砖！