JAVA禁用OPTIONS等请求方式不同实现方法

最新推荐文章于 2025-05-26 18:32:15 发布
最新推荐文章于 2025-05-26 18:32:15 发布
阅读量586 收藏 16
点赞数 14
CC 4.0 BY-SA版权
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CR7_WS/article/details/147897036

一、tomcat层面禁用
从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法
修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置:

<session-config>
        <session-timeout>30</session-timeout>
</session-config>
<security-constraint>
        <web-resource-collection>
            <web-resource-name>BDC</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint/>
 </security-constraint>

二、应用层的web.xml中禁用(不推荐)
如果项目含web.xml的传统应用,按照从tomcat层禁用方式一样:
<session-config>
        <session-timeout>30</session-timeout>
</session-config>
<security-constraint>
        <web-resource-collection>
            <web-resource-name>BDC</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>DELETE</http-method>
            <http-method>HEAD</http-method>
            <http-method>TRACE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint/>
</security-constraint>

三、springboot类型过滤器禁用(推荐)


import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class CorsFilter implements Filter {

    private static List<String> FORBIDDEN_METHOD = new ArrayList<String>();
    static {
        FORBIDDEN_METHOD.add("PUT");
        FORBIDDEN_METHOD.add("DELETE");
        FORBIDDEN_METHOD.add("HEAD");
        FORBIDDEN_METHOD.add("TRACE");
        FORBIDDEN_METHOD.add("OPTIONS");
    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        HttpServletResponse response = (HttpServletResponse) res;
        HttpServletRequest request = (HttpServletRequest) req;

        if (FORBIDDEN_METHOD.contains(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            return;
        }

        if ("OPTIONS".equalsIgnoreCase(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            chain.doFilter(req, res);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) {
        // not needed
    }

    @Override
    public void destroy() {
        // not needed
    }

}
 

CR7_WS
关注
Web 应用程序报告: 启用了不安全的“OPTIONS”HTTP 方法 建议:禁用 WebDAV,或者禁止不需要的 HTTP 方法 spring boot
weixin_41147129的博客
09-24 5541
Web 应用程序报告 有一项叫做启用了不安全的“OPTIONS”HTTP 方法 然后他会建议 禁用WebDAV,或者禁止不需要的 HTTP 方法 WebDAV: Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议。它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持
Java SpringBoot项目限制PUT、DELETE、TRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 1593
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
Apache服务器关闭TRACE Method请求方式方法
01-20
TRACE和TRACK是用来调试web服务器连接的HTTP方式。支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把”Cross-Site-Tracing”简称为XST。攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。如何关闭Apache的TRACE请求 •虚拟主机用户可以在.htaccess文件中添加如下代码过滤TRACE请求: RewriteEngine onRewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F] •服务器用户在httpd.conf尾部添加如下指令后重启apache即可: Tr
web 禁用 OPTIONS方法启用【原理扫描】
tone1128的博客
07-13 1003
Web服务器上启用了HTTP OPTIONS方法OPTIONS方法提供了Web服务器支持的方法列表,它表示对有关由Request-URI标识的请求/响应链上可用的通信选项的信息的请求。
深入理解Servlet 2.4规范及应用
weixin_42430341的博客
05-25 946
Servlet是Java EE(Java Platform, Enterprise Edition)的核心技术之一,用于开发网络应用程序。它是一种运行在服务器端的小型Java程序,负责响应客户端请求,并将处理结果返回给客户端。Servlet与传统的CGI(Common Gateway Interface)相比,具有更高的性能和更好的可移植性。下面是实现一个自定义Filter的典型步骤,用于演示如何拦截请求并打印日志信息。@Override// 在Filter初始化时执行的代码。
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 4349
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法
09-30
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的介绍一下
Tomcat过滤请求方式
q908544703的博客
06-02 1683
1.修改tomcat配置文件conf的web.xml(增加红色部分) 2.新增如下内容 原配置文件下载: 链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA 提取码:eg87
linux禁用options方法,WEB服务器启用了OPTIONS方法
weixin_29693211的博客
05-13 1194
漏洞描述攻击者可利用options方法获取服务器的信息,进而准备进一步攻击。解决方案:修改配置文件禁用options方法:windows2008、windows2012,请在wwwroot目录建立web.config,内容如下windows 2003,打开控制面板-ISAPI筛选器-启用自定义重写组件,然后编辑httpd.conf,如果您已有其他规则,请添加到最上面RewriteEngine on...
【安全扫描问题】在Web服务器上禁用OPTIONS方法
IOS_Mainstay的博客
08-07 1万+
1、修改web.xml 中的引入 &lt;web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:web="http://java.sun.com/xml/ns/j2ee" xsi:schemaLocation="http://j...
Vue使用axios出现options请求方法
10-16
在本例中,Vue应用中的axios.post()方法触发了这个OPTIONS请求。这是因为POST请求在CORS策略下被认为是不安全的,所以浏览器会先发送OPTIONS请求来确保服务器允许这种类型的请求。以下是相关知识点的详细说明: 1. ...
各中间件禁用不安全的HTTP方法
02-10
2. **禁用OPTIONS和TRACE**:在`web.config`文件中,可以添加如下代码来禁用`OPTIONS`和`TRACE`方法: ```xml ``` 对于IIS 6,可以在IIS管理器中选择web服务扩展,并在webDav上选择禁止。 ##...
springboot 集成Spring Security禁用OPTIONS方法
01-15
### 如何在Spring Boot集成Spring Security时禁用OPTIONS HTTP方法 为了实现这一目标,在配置类中可以通过重写`configure(HttpSecurity http)`方法来调整HTTP安全设置。具体来说,可以利用`...
Java 权威方案:彻底修复 OPTIONS 方法安全漏洞(附企业级案例与测试指南)
最新发布
lihaiming_2008的专栏
05-26 1396
HTTP协议中的OPTIONS方法存在安全风险,如Optionsbleed漏洞可能导致服务器信息泄露。通过全局拦截、Filter过滤和CORS优化可有效防护:Spring Security可全局禁用OPTIONS请求,自定义Filter返回405状态码,合理配置CORS减少预检请求。生产环境还需配置安全头、代理验证等强化措施,并通过curl、单元测试和安全扫描进行验证。遵循RFC7231和OWASP规范,避免常见误区如仅禁用OPTIONS或允许所有方法,构建包含方法拦截、CORS优化和多层防御的安全体系。
OPTIONS方法禁用
热门推荐
zqhao的博客
03-13 2万+
在给系统做安全检测的过程中,发现了一个低危安全性问题,检测到目标服务器启用了OPTIONS方法OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法,客户 端可以在采取具体资源请求之前,决定对该资源采取何种必要措施,或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感 信息,这些信息将帮助攻击者准备更进一步的攻击。 解决...
SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞】
ZQL666123的博客
10-20 3636
SpringBoot项目中禁用OPTIONS请求方法,修复启用OPTIONS方法漏洞,漏洞扫描时修复漏洞
禁用 OPTIONS 请求
qq_42033668的博客
07-17 1817
渗透测试结果为 不安全的HTTP方法 OPTIONSspring项目可通过设置tomcat 或者 nginx 禁止
漏洞修复:检测到目标服务器启用了OPTIONS方法
yjfkeifk的博客
07-01 2589
IIS+asp.net网站,使用绿盟和。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值