springboot2禁止内置Tomcat不安全的HTTP方法

最新推荐文章于 2025-01-28 09:27:17 发布
原创 最新推荐文章于 2025-01-28 09:27:17 发布 · 469 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

该代码示例展示了在SpringBoot应用中如何配置TomcatServletWebServerFactory,添加安全约束以限制对特定HTTP方法的访问,如PUT、DELETE等,并启用TRACE方法。同时,设置使用HTTPOnlycookie并控制访问路径。
部署运行你感兴趣的模型镜像 
@Configuration
public class TomcatConfig {
	@Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addPattern("/ywyydsj/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("PATCH");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                constraint.addCollection(collection);
                constraint.setAuthConstraint(true);
                context.addConstraint(constraint);
                context.setUseHttpOnly(true);
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcatServletContainerFactory;
    }
}

您可能感兴趣的与本文相关的镜像

ACE-Step

ACE-Step

音乐合成
ACE-Step

ACE-Step是由中国团队阶跃星辰(StepFun)与ACE Studio联手打造的开源音乐生成模型。 它拥有3.5B参数量,支持快速高质量生成、强可控性和易于拓展的特点。 最厉害的是,它可以生成多种语言的歌曲,包括但不限于中文、英文、日文等19种语言

SpringBoot介绍
09-17 1186
Spring是一个非常优秀的轻量级框架,以IOC(控制反转)和AOP(面向切面)为思想内核,极大简化了JAVA企业级项目的开发。虽然Spring的组件代码是轻量级的,但它的配置却是重量级的。使用Spring进行项目开发需要在配置文件中写很多代码,所有这些配置都代表了开发时的损耗。除此之外,Spring项目的依赖管理也是一件耗时耗力的事情。在环境搭建时,需要分析要导入哪些库的坐标,而且还需要分析导入与之有依赖关系的其他库的坐标,一旦选错了依赖的版本,随之而来的兼容问题就会严重阻碍项目的开发进度。
SpringBoot2.x系列教程(三十九)SpringBoot中SecurityConstraint使用详解
程序新视界
02-06 4968
针对Web应用中数据的敏感程度,可采用httphttps进行访问。而在Spring Boot中也可以通过重新定义TomcatServletWebServerFactory的具体实现来达到同层级数据的安全访问形式。比如,静态资源采用http访问,非静态资源采用https进行访问。 具体到代码使用,以Spring Boot为例,可实现http调整到https的配置代码如下: @Configurat...
springboot禁止内置Tomcat安全HTTP方法
wx优快云1997的博客
12-02 1550
参考: 学习-Springboot禁止内置Tomcat安全HTTP方法_liutinghui989的博客-优快云博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
SpringBoot2.0中禁用内置Tomcat安全请求方法
Levent的博客
10-24 5985
禁用内置Tomcat安全请求方法 SpringBoot2.0之前版本 在SpringBoot2.0之前的版本中可以向容器注册[EmbeddedServletContainerFactory ]类实现对内置Servlet容器的配置 @Bean public EmbeddedServletContainerFactory servletContainer() { T...
禁用Springboot以jar方式使用内嵌tomcat安全http方法
chemyoo的博客
02-01 832
禁用Springboot以jar方式使用内嵌tomcat安全http方法
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 4737
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
Spring Boot 禁用内嵌的 Web容器(Tomcat
小单的博客专栏
05-24 1238
默认情况下,Spring Boot会将Tomcat作为默认的嵌入式容器,如果你希望将 springboot 打包部署到其他外部容器中(例如 WebLogic)。除了可以在 pom 中排除 tomcat 依赖这种方法之外,还可以在拍除依赖的情况下,通过配置来禁用已经打包进 springboot 的内嵌 Web 容器。
Springboot项目部署到外部Tomcat
yu102655的专栏
04-26 5963
前言:用过Springboot的同学都知道,Springboot采用了约定大于配置的思想,提供了大量简化配置的操作,使得我们从繁重的SpringMVC项目配置中解脱出来,只需要在.properties或者.yml文件上给指定的参数配置适当参数值即可,然后Springboot会自动应用;个人认为Springboot的优势在于提供快速便捷的开发模式,比如快速开发服务接口,通过mvn打包成jar包,然后...
SpringBoot
weixin_45995247的博客
02-12 1064
Springboot常用配置,集成
springboot整合Druid+log4j2
zt_1017的博客
04-12 680
1、引入pom.xml依赖 在 Spring Boot 项目中加入druid-spring-boot-starter依赖,最新版本 <!-- druid-spring-boot-starter --> <dependency> <groupId>com.alibaba</groupId> <artifactId>druid-spring-boot-starter</artifactId> <version>1.2.8&
记录几个优化tomcat的常见方法
码农小麦
06-06 2062
最近公司又在搞安全监控,针对tomcat关于AJP端口存在的漏洞要求升级指定版本或关闭该端口重启服务,小编所在的部门关于tomcat外置服务器AJP端口早已关闭,得益于前技术总监的优化建议。 以下是关于前技术总监关于tomcat优化的建议,拿小本本记下的内容: 1.关闭AJP端口8009 在tomcat前再使用web服务器时,即便tomcat提供的都是静态资源文件,情况都要比直接使用http连接差的多,如果确实有需要集成前置服务器,走AJP协议要比http协议性能更好。通常前置服务器有nginx做静态伺服器
学习-Springboot禁止内置Tomcat安全HTTP方法
liutinghui989的博客
04-17 9076
SpringBoot禁止内置Tomcat安全HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
Spring Boot——HTTP访问重定向HTTPS解决方案
无限迭代中......
02-20 4611
解决方案 方法一:在启动类也就是@SpringBootApplication注解类中加上使用 /** * http重定向https * @return */ @Bean public TomcatServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new T...
java spring boot 入门(2)------基础配置
咸鱼梦想
07-27 359
Spring Boot 的简便创建方式 在线创建是Spri n g Boot 官方提供的一种包创建方式, 在浏览器中输入网址 “https://start.spring.io/ ”,成成,看人品,我的网连上它的server。 接下来说重点: 目录 使用spring-boot-starter-parent @Spring BootApplication 定制banner web容器配置 Properties 配置 类型安全配置属性 YAML配置 profile 使用spring
springboot下 拦截器问题(重定向问题解决)
u013842655的博客
07-01 2393
解决spring boot 拦截器失效 放行无效等问题 (最优解)
spring boot 设置 微服务标识以及浏览器访问的根路径
u010509143的专栏
05-25 859
server: port: 9108 # tomcat: port-header: HEAD,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND,BOGUS min-spare-threads: 20 max-threads: 500 max-connections: 10000 max-http-header-size: 1024KB max-http-post-size: 20MB servlet: c...
spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全HTTP方法,如果对这个安全漏洞有明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于http安全方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全方法进行拦截。下面,我们重点说下第二种方案,因为
Spring Boot跨域配置的完整指南
专注于与编程相关的知识内容分享
01-28 867
在现代Web开发中,前后端分离架构已成为主流模式。然而,由于浏览器的**同源策略(Same-Origin Policy)**限制,前端应用与后端API之间常会遇到**跨域请求被拦截**的问题。本文将深入解析Spring Boot中跨域配置的多种实现方式,并结合代码示例与生产环境最佳实践,帮助开发者高效解决这一常见问题。
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
tomcat-embed-core9.0.93和9.0.96针对springboot2.7.9兼容性
最新发布
03-11
- **语义化版本规范**:Tomcat 9.0.x 的小版本更新(如 9.0.74 → 9.0.93 → 9.0.96)通常仅包含 **Bug 修复、安全补丁或性能优化**,涉及破坏性变更。 - **Spring Boot 的兼容性策略**: Spring Boot 一般支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值