springboot2禁止内置Tomcat不安全的HTTP方法

最新推荐文章于 2024-10-08 18:14:30 发布
原创 最新推荐文章于 2024-10-08 18:14:30 发布 · 447 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

该代码示例展示了在SpringBoot应用中如何配置TomcatServletWebServerFactory,添加安全约束以限制对特定HTTP方法的访问,如PUT、DELETE等,并启用TRACE方法。同时,设置使用HTTPOnlycookie并控制访问路径。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

@Configuration
public class TomcatConfig {
	@Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcatServletContainerFactory = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                collection.addPattern("/ywyydsj/*");
                collection.addMethod("HEAD");
                collection.addMethod("PUT");
                collection.addMethod("PATCH");
                collection.addMethod("DELETE");
                collection.addMethod("OPTIONS");
                collection.addMethod("TRACE");
                collection.addMethod("COPY");
                collection.addMethod("SEARCH");
                collection.addMethod("PROPFIND");
                constraint.addCollection(collection);
                constraint.setAuthConstraint(true);
                context.addConstraint(constraint);
                context.setUseHttpOnly(true);
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcatServletContainerFactory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return tomcatServletContainerFactory;
    }
}

禁用Springboot以jar方式使用内嵌tomcat安全http方法
chemyoo的博客
02-01 604
禁用Springboot以jar方式使用内嵌tomcat安全http方法
spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全HTTP方法,如果对这个安全漏洞有明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于http安全方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全方法进行拦截。下面,我们重点说下第二种方案,因为
springboot禁止内置Tomcat安全HTTP方法
wx优快云1997的博客
12-02 1467
参考: 学习-Springboot禁止内置Tomcat安全HTTP方法_liutinghui989的博客-优快云博客 在此省略起因,过程,反正领导让研究咱就研究。 代码: package com.yunan.framework.config; import org.apache.catalina.Context; import org.apache.catalina.connector.Connector; import org.apache.tomcat.util.descriptor.
SpringBoot2.0中禁用内置Tomcat安全请求方法
Levent的博客
10-24 5957
禁用内置Tomcat安全请求方法 SpringBoot2.0之前版本 在SpringBoot2.0之前的版本中可以向容器注册[EmbeddedServletContainerFactory ]类实现对内置Servlet容器的配置 @Bean public EmbeddedServletContainerFactory servletContainer() { T...
springboot禁用内置Tomcat安全请求方法
菜狗小仪的博客
11-15 2178
原由:安全组针对接口测试提出的要求,须要关闭安全的请求方法,例如put、delete等方法,防止服务端资源被恶意篡改。 用过springMvc都知道能够使用@PostMapping、@GetMapping等这种注解限定单个接口方法类型,或者是在@RequestMapping中指定method属性。这种方式比较麻烦,那么有没有比较通用的方法,经过查阅相关资料,答案是确定的。html tomcat传统形式经过配置web.xml达到禁止安全http方法 <security-constraint>
SpringBoot禁用TRACE请求
qq_41814311的博客
08-09 4383
最近项目在做安全漏洞扫描,结果报告中有关于 远端WWW服务支持TRACE请求漏洞。
Springboot项目部署到外部Tomcat
yu102655的专栏
04-26 5927
前言:用过Springboot的同学都知道,Springboot采用了约定大于配置的思想,提供了大量简化配置的操作,使得我们从繁重的SpringMVC项目配置中解脱出来,只需要在.properties或者.yml文件上给指定的参数配置适当参数值即可,然后Springboot会自动应用;个人认为Springboot的优势在于提供快速便捷的开发模式,比如快速开发服务接口,通过mvn打包成jar包,然后...
Day04--Maven、SpringBoot快速入门、HTTP协议、Tomcat
2202_75518477的博客
10-08 1137
Maven是apache旗下的一个开源项目,是一款用于管理和构建java项目的工具。ApacheMaven介绍Apache Maven是一个项目管理和构建工具,它基于项目对象模型(POM:Project)的概念,通过一小段描述信息来管理项目的构建。作用方便的依赖管理统一的项目结构标准的项目构建流程Spring(最流行的Java框架!spring.ioSpring发展到今天已经形成了一种开发生态圈,Spring提供了若干个子项目,每个项目用于完成特定的功能。
JavaWeb--08SpringBootWeb入门--Web服务器-Tomcat
m0_73678713的博客
04-29 949
在com.itheima这个包下创建一个子包controller,然后在controller包下新建一个类:HelloControllerHTTP:Hyper Text Transfer Protocol(超文本传输协议),规定了浏览器与服务器之间数据传输的规则。特点面向连接,安全TCP是一种面向连接的(建立连接之前是需要经过三次握手)、可靠的、基于字节流的传输层通信协议,在数据传输方面更安全一次请求对应一次响应(先请求后响应)请求和响应是一一对应关系,没有请求,就没有响应对于数据没有记忆能力。
Spring Boot 禁用内嵌的 Web容器(Tomcat
小单的博客专栏
05-24 1080
默认情况下,Spring Boot会将Tomcat作为默认的嵌入式容器,如果你希望将 springboot 打包部署到其他外部容器中(例如 WebLogic)。除了可以在 pom 中排除 tomcat 依赖这种方法之外,还可以在拍除依赖的情况下,通过配置来禁用已经打包进 springboot 的内嵌 Web 容器。
学习-Springboot禁止内置Tomcat安全HTTP方法
liutinghui989的博客
04-17 8961
SpringBoot禁止内置Tomcat安全HTTP方法学习问题记录新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入...
java spring boot 入门(2)------基础配置
咸鱼梦想
07-27 338
Spring Boot 的简便创建方式 在线创建是Spri n g Boot 官方提供的一种包创建方式, 在浏览器中输入网址 “https://start.spring.io/ ”,成成,看人品,我的网连上它的server。 接下来说重点: 目录 使用spring-boot-starter-parent @Spring BootApplication 定制banner web容器配置 Properties 配置 类型安全配置属性 YAML配置 profile 使用spring
springboot下 拦截器问题(重定向问题解决)
u013842655的博客
07-01 2354
解决spring boot 拦截器失效 放行无效等问题 (最优解)
spring boot 设置 微服务标识以及浏览器访问的根路径
u010509143的专栏
05-25 826
server: port: 9108 # tomcat: port-header: HEAD,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND,BOGUS min-spare-threads: 20 max-threads: 500 max-connections: 10000 max-http-header-size: 1024KB max-http-post-size: 20MB servlet: c...
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
为什么要禁止除GET和POST之外的HTTP方法
08-19 1595
根据HTTP标准,HTTP请求可以使用多种方法,其功能描述如下所示。HTTP1.0定义了三种请求方法: GET、POST、HEADHTTP1.1新增了五种请求方法:OPTIONS、PUT、DELETE、TRACE 、CONNECT。
安全约束 security Constraint
southwind1的博客
08-04 1489
spring boot为例,因为spring boot中内嵌tomcat
Web安全-Tomcat禁用Web服务器内置安全请求方法
acooly
11-23 2448
1. 背景说明 Web安全测试中,会要求屏蔽非必要的安全Http请求方法。一般要求保留get和post,其他的方法一般屏蔽,比如:OPTIONS,DELETE等。 本文主要收集业务系统中,同时期,我们框架的各版本的处理方案,都基于tomcat+spring各版本体系。 2. 解决思路 使用...
HTTPS配置过程
小东的博客
05-04 1143
由于 HTTPS 具有良好的安全性,在开发中得到了越来越广泛的应 像微信公众号、小程序 等的开发都要使用 HTTPS 来完成。 在\jdk \bin 录下,通过这个工具可 以自己生成一个数字证书, 生成命令如下: keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore sang.p12 -validity 365 命令解释 • -genkey 表示要创 一个新的密钥。 • alias 表示
tomcat-embed-core9.0.93和9.0.96针对springboot2.7.9兼容性
最新发布
03-11
- **语义化版本规范**:Tomcat 9.0.x 的小版本更新(如 9.0.74 → 9.0.93 → 9.0.96)通常仅包含 **Bug 修复、安全补丁或性能优化**,涉及破坏性变更。 - **Spring Boot 的兼容性策略**: Spring Boot 一般支持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值