springboot2禁止内置Tomcat不安全的HTTP方法

最新推荐文章于 2024-10-08 18:14:30 发布
最新推荐文章于 2024-10-08 18:14:30 发布
阅读量447 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: spring boot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Leisurelyc/article/details/129125171
该代码示例展示了在SpringBoot应用中如何配置TomcatServletWebServerFactory,添加安全约束以限制对特定HTTP方法的访问,如PUT、DELETE等,并启用TRACE方法。同时,设置使用HTTPOnlycookie并控制访问路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

@Configuration
public class TomcatConfig {
	@Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addPattern("/ywyydsj/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("PATCH");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                constraint.addCollection(collection);
                constraint.setAuthConstraint(true);
                context.addConstraint(constraint);
                context.setUseHttpOnly(true);
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcatServletContainerFactory;
    }
}

禁用Springboot以jar方式使用内嵌tomcat安全http方法
chemyoo的博客
02-01 604
禁用Springboot以jar方式使用内嵌tomcat安全http方法
spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全HTTP方法,如果对这个安全漏洞有明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于http安全方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全方法进行拦截。下面,我们重点说下第二种方案,因为
springboot禁止内置Tomcat安全HTTP方法
wx优快云1997的博客
12-02 1469
参考: 学习-Springboot禁止内置Tomcat安全HTTP方法_liutinghui989的博客-优快云博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
SpringBoot2.0中禁用内置Tomcat安全请求方法
Levent的博客
10-24 5957
禁用内置Tomcat安全请求方法 SpringBoot2.0之前版本 在SpringBoot2.0之前的版本中可以向容器注册[EmbeddedServletContainerFactory ]类实现对内置Servlet容器的配置 @Bean public EmbeddedServletContainerFactory servletContainer() { T...
springboot禁用内置Tomcat安全请求方法
菜狗小仪的博客
11-15 2178
原由:安全组针对接口测试提出的要求,须要关闭安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。 用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html tomcat传统形式经过配置web.xml达到禁止安全http方法 <security-constraint>
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 4385
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
Springboot项目部署到外部Tomcat
yu102655的专栏
04-26 5927
前言:用过Springboot的同学都知道,Springboot采用了约定大于配置的思想,提供了大量简化配置的操作,使得我们从繁重的SpringMVC项目配置中解脱出来,只需要在.properties或者.yml文件上给指定的参数配置适当参数值即可,然后Springboot会自动应用;个人认为Springboot的优势在于提供快速便捷的开发模式,比如快速开发服务接口,通过mvn打包成jar包,然后...
Day04--Maven、SpringBoot快速入门、HTTP协议、Tomcat
2202_75518477的博客
10-08 1137
Maven是apache旗下的一个开源项目,是一款用于管理和构建java项目的工具。ApacheMaven介绍Apache Maven是一个项目管理和构建工具,它基于项目对象模型(POM:Project)的概念,通过一小段描述信息来管理项目的构建。作用方便的依赖管理统一的项目结构标准的项目构建流程Spring(最流行的Java框架!spring.ioSpring发展到今天已经形成了一种开发生态圈,Spring提供了若干个子项目,每个项目用于完成特定的功能。
JavaWeb--08SpringBootWeb入门--Web服务器-Tomcat
m0_73678713的博客
04-29 949
在com.itheima这个包下创建一个子包controller,然后在controller包下新建一个类:HelloControllerHTTP:Hyper Text Transfer Protocol(超文本传输协议),规定了浏览器与服务器之间数据传输的规则。特点面向连接,安全TCP是一种面向连接的(建立连接之前是需要经过三次握手)、可靠的、基于字节流的传输层通信协议,在数据传输方面更安全一次请求对应一次响应(先请求后响应)请求和响应是一一对应关系,没有请求,就没有响应对于数据没有记忆能力。
Spring Boot 禁用内嵌的 Web容器(Tomcat
小单的博客专栏
05-24 1080
默认情况下,Spring Boot会将Tomcat作为默认的嵌入式容器,如果你希望将 springboot 打包部署到其他外部容器中(例如 WebLogic)。除了可以在 pom 中排除 tomcat 依赖这种方法之外,还可以在拍除依赖的情况下,通过配置来禁用已经打包进 springboot 的内嵌 Web 容器。
学习-Springboot禁止内置Tomcat安全HTTP方法
liutinghui989的博客
04-17 8961
SpringBoot禁止内置Tomcat安全HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
java spring boot 入门(2)------基础配置
咸鱼梦想
07-27 338
Spring Boot 的简便创建方式 在线创建是Spri n g Boot 官方提供的一种包创建方式, 在浏览器中输入网址 “https://start.spring.io/ ”,成成,看人品,我的网连上它的server。 接下来说重点: 目录 使用spring-boot-starter-parent @Spring BootApplication 定制banner web容器配置 Properties 配置 类型安全配置属性 YAML配置 profile 使用spring
springboot下 拦截器问题(重定向问题解决)
u013842655的博客
07-01 2354
解决spring boot 拦截器失效 放行无效等问题 (最优解)
spring boot 设置 微服务标识以及浏览器访问的根路径
u010509143的专栏
05-25 826
server: port: 9108 # tomcat: port-header: HEAD,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND,BOGUS min-spare-threads: 20 max-threads: 500 max-connections: 10000 max-http-header-size: 1024KB max-http-post-size: 20MB servlet: c...
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
为什么要禁止除GET和POST之外的HTTP方法
08-19 1597
根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。HTTP1.0定义了三种请求方法: GET、POST、HEADHTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT。
安全约束 security Constraint
southwind1的博客
08-04 1490
spring boot为例,因为spring boot中内嵌tomcat
Web安全-Tomcat禁用Web服务器内置安全请求方法
acooly
11-23 2449
1. 背景说明 Web安全测试中,会要求屏蔽非必要的安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
HTTPS配置过程
小东的博客
05-04 1143
由于 HTTPS 具有良好的安全性,在开发中得到了越来越广泛的应 像微信公众号、小程序 等的开发都要使用 HTTPS 来完成。 在\jdk \bin 录下,通过这个工具可 以自己生成一个数字证书, 生成命令如下: keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore sang.p12 -validity 365 命令解释 • -genkey 表示要创 一个新的密钥。 • alias 表示
tomcat-embed-core9.0.93和9.0.96针对springboot2.7.9兼容性
最新发布
03-11
<think>好的,我现在需要帮用户分析Tomcat-embed-core 9.0.93和9.0.96在Spring Boot 2.7.9中的兼容性。首先,我得确认Spring Boot 2.7.9默认使用的Tomcat版本。查阅官方文档或Release Notes应该能找到相关信息。 根据Spring Boot的版本管理,每个版本都会指定依赖项的默认版本。比如,Spring Boot 2.7.9可能内置了特定版本的Tomcat-embed-core。我需要找到这个信息。假设官方文档里说2.7.9默认使用Tomcat 9.0.x,但具体是哪个小版本呢?可能是9.0.74或者类似的,需要确认。 接下来,用户问的是9.0.93和9.0.96是否兼容。Tomcat遵循语义化版本,所以9.0.x的小版本通常是向后兼容的。但需要注意,从9.0.93到9.0.96可能有bug修复或安全补丁,但一般会引入破坏性变更。过,Spring Boot可能只测试过其默认的Tomcat版本,高版本可能未经充分测试。 然后,考虑用户可能遇到的问题。如果直接升级Tomcat到9.0.93或9.96,可能存在依赖冲突,需要排除默认的Tomcat依赖,然后手动引入指定版本。需要检查是否存在已知问题,比如某些类或方法的变更导致Spring Boot兼容。查看Tomcat的发布说明,看看这两个版本是否有重大变化,特别是涉及Servlet API或内部实现的调整。 另外,Spring Boot 2.7.x可能对Tomcat的兼容性有范围限制,比如允许9.0.x的某些版本。需要确认Spring Boot的依赖管理是否允许覆盖到这两个版本。如果Spring Boot的父POM里Tomcat版本是9.0.x,而用户指定的版本在同一个主、次版本下,理论上兼容,但可能有未测试的问题。 可能的步骤是建议用户先测试,排除默认Tomcat,引入新版本,运行测试看是否有异常。同时,查看社区或GitHub上的问题,看看有没有人反馈过类似的问题。如果官方文档没有明确说明,可能需要根据实际使用情况来判断。 总结:Tomcat 9.0.93和9.0.96在理论上兼容Spring Boot 2.7.9,但需要手动覆盖依赖,并注意可能的未测试问题。建议谨慎升级,做好测试。</think>### Tomcat-embed-core 9.0.93 和 9.0.96 在 Spring Boot 2.7.9 中的兼容性分析 #### 1. **Spring Boot 2.7.9 默认的 Tomcat 版本** Spring Boot 2.7.9 的默认内嵌 Tomcat 版本为 **9.0.74**(需以实际官方文档为准)。 如果直接使用 `spring-boot-starter-web` 依赖,Spring Boot 的依赖管理会自动选择其测试过的 Tomcat 版本。 #### 2. **Tomcat 9.0.93 和 9.0.96 的兼容性判断** - **语义化版本规范**:Tomcat 9.0.x 的小版本更新(如 9.0.74 → 9.0.93 → 9.0.96)通常仅包含 **Bug 修复、安全补丁或性能优化**,涉及破坏性变更。 - **Spring Boot 的兼容性策略**: Spring Boot 一般支持同一主版本(如 Tomcat 9.x)下的所有小版本,但仅对默认版本进行完整测试。更高小版本可能兼容,但需手动验证。 #### 3. **升级 Tomcat 版本的操作建议** 若需升级到 9.0.93 或 9.0.96,需在项目中 **显式指定 Tomcat 版本**,并排除默认依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> <exclusions> <exclusion> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> </exclusion> </exclusions> </dependency> <dependency> <groupId>org.apache.tomcat.embed</groupId> <artifactId>tomcat-embed-core</artifactId> <version>9.0.96</version> <!-- 或 9.0.93 --> </dependency> ``` #### 4. **潜在风险与验证建议** - **已知问题排查**: 检查 Tomcat 9.0.93/9.0.96 的 [Release Notes](https://tomcat.apache.org/tomcat-9.0-doc/changelog.html),确认是否存在与 Spring Boot 相关的破坏性变更(如 Servlet API 调整、类加载逻辑变化等)。 - **测试覆盖**: 建议在升级后执行以下测试: - 启动应用程序,观察日志是否有类加载错误。 - 验证基础功能(如 HTTP 请求处理、Servlet 过滤器、WebSocket 等)。 - 检查依赖冲突(使用 `mvn dependency:tree` 或 Gradle 依赖分析工具)。 #### 5. **官方兼容性说明** - Spring Boot 未明确禁止更高小版本的 Tomcat,但若遇到问题需回退到默认版本。 - 若需长期使用高版本 Tomcat,建议升级到 Spring Boot 2.7.x 的最新补丁版本(如 2.7.18),以获取更广泛的依赖兼容性支持。 --- ### 总结 - **兼容性结论**:Tomcat-embed-core 9.0.93 和 9.0.96 **理论上兼容** Spring Boot 2.7.9,但需手动配置。 - **建议操作**: 1. 通过依赖管理覆盖版本。 2. 充分测试关键功能。 3. 监控 Tomcat 更新日志中的已知问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值