配置tomcat支持http delete和put的方法

最新推荐文章于 2024-05-05 18:43:28 发布
最新推荐文章于 2024-05-05 18:43:28 发布
阅读量3.1k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baochanghong/article/details/84911441
本文介绍了如何在Tomcat服务器上启用对HTTP DELETE和PUT方法的支持。默认情况下,Tomcat的readonly参数设为true,导致这些操作被禁止。要启用它们,需要在Tomcat的web.xml文件中将DefaultServlet的readonly属性设置为false。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

WebDAV(Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。

方法:

PUT,向指定的目录上传附加文件;

DELETE,删除指定的资源;

COPY,将指定的资源复制到Destination消息头指定的位置;

MOVE,将指定的资源移动到Destination消息头指定的位置;

SEARCH,在一个目录路径中搜索资源。

PROPFIND,获取与指定资源有关的信息,如作者、大小与内容类型。

TRACE,在响应中返回服务器收到的原始请求。可以使用这种方法避开阻止跨站点脚本的防御。

在tomcat5.5支持http delete和put的方法:

在tomcat web.xml文件中配置org.apache.catalina.servlets.DefaultServlet的 

<servlet>
           <servlet-name>default</servlet-name>
           <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
           <init-param>
               <param-name>debug</param-name>
               <param-value>0</param-value>
           </init-param>
           <init-param>
               <param-name>readonly</param-name>
               <param-value>true</param-value>
           </init-param>
           <init-param>
               <param-name>listings</param-name>
               <param-value>false</param-value>
           </init-param>
           <load-on-startup>1</load-on-startup>
</servlet>

 readonly参数默认是true,即不允许delete和put操作,所以通过XMLHttpRequest对象的put或者delete方法访问就会报告http 403错误。为REST服务起见,应该设置该属性为false。

baochanghong
关注
Tomcat PUT方法任意文件上传(CVE-2017-12615)
谢公子的博客
09-04 5391
目录 漏洞复现: 漏洞利用工具: 漏洞环境:当 Tomcat运行在Windows操作系统,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求上传任意文件,包括JSP类型的木马。影响范围:Apache Tomcat 7.0.0 - 7.0.81 漏洞复现: Tomcat版本:Tomcat 7.0.39...
13-4 tomcat PUT任意方法写文件
weixin_43263566的博客
12-04 1067
该漏洞是Apache Tomcat服务器中的PUT方法任意写文件漏洞,可以让攻击者上传Webshell并获取服务器权限。该漏洞在2017年9月19日被Apache官方发布并修复。在conf/web.xml文件中,readonly默认为true,当设置为false时,可以通过PUT / DELETE进行文件操作,但jsp后缀的上传受到限制。关于利用Tomcat漏洞的一些技术细节:使用%20绕过:将文件名中的空格替换为%20,即可实现绕过的效果。在jsp后缀后面添加:因为。
怎么使得tomcat支持put请求
这天有点热的博客
06-25 4080
在D:\apache-tomcat-9.0.8\conf\web.xml中&lt;servlet&gt;        &lt;servlet-name&gt;default&lt;/servlet-name&gt;        &lt;servlet-class&gt;org.apache.catalina.servlets.DefaultServlet&lt;/servlet-class&g...
如何配置Tomcat支持HTTP DeletePut 方法
Less is More
08-21 425
tomcat web.xml文件中配置org.apache.catalina.servlets.DefaultServlet的 [code="java"] readonly false [/code] readonly参数默认是true,即不允许deleteput操作,所以通过XMLHttpRequest对象的put或者delete方法访问就会报告http 403...
Tomcat8 任意写文件PUT方法 (CVE-2017-12615)
weixin_42786460的博客
09-25 1181
Tomcat8 任意写文件PUT方法 (CVE-2017-12615)
高版本Tomcat(8及以上)不支持PUTDELETE方法
959
06-02 661
HiddenHttpMethodFilter进行请求过滤,实现Rest风格的url 1.Tomcat7及以下的版本: 在web.xml配置: <filter> <filter-name>hiddenHttpMethodFilter</filter-name> <filter-class>org.springframework.web.filter.HiddenHttpMethodFilter</filter-class> </filt
tomcat禁止PUT方法
03-29
然而,在某些情况下,我们可能需要禁止 Tomcat 上的某些 HTTP 方法,例如 PUTDELETE、HEAD、OPTIONS TRACE 方法,以确保应用程序的安全性。 在本文中,我们将讨论如何禁止 Tomcat 上的 PUT方法,以防止未经...
HTTP协议与Tomcat在IJ中配置
记录开发和安全学习过程中的点点滴滴
05-05 958
回顾一下学习并对JavaWeb的学习过程中做一个总结,包含其中一些自己摸索出来的配置方法其中包含对HTTP协议的总结,包含对tomcat导入IJ中使用,最后添加了一些自己的东西,然后进行一次复盘,并加深一下学习的理解印象.
Tomcat 通过 PUT 方法任意写入文件漏洞 (CVE-2017-12615)
薛定谔嘚喵博客
04-02 1573
CVE-2017-12615 对应的漏洞为任意文件写入,由于配置不当(非默认配置),导致可以使用 PUT 方法上传任意文件 。Tomcat设置了写权限(readonly=false),导致可以使用PUT方法上传任意文件。
漏洞复现系列--Tomcat-PUT方法任意文件写入(CVE-2017-12615)
梦之旅行地
01-14 574
1、漏洞利用前提: Tomcat版本: 7.0.0 - 7.0.81 配置文件conf/web.xml中的readonly设置为false 开启了PUT方法 2、复现过程: 用burp随意抓一个GET请求包,将GET改为PUT,并上传一个jsp文件 PUT /1.jsp/ HTTP/1.1 Host: 对应的网站host Accept: */* Accept-Language: en User-A...
Tomcat PUT方法任意写文件 CVE-2017-12615 漏洞复现
Senimo
07-30 844
Tomcat PUT方法任意写文件 CVE-2017-12615 漏洞复现一、漏洞描述二、漏洞影响三、漏洞复现1、环境搭建2、漏洞复现四、漏洞EXP五、参考链接 一、漏洞描述 在启用 HTTP PUT 的 Windows 上运行 Apache Tomcat 7.0.0 到 7.0.79 时(例如,通过将 Default 的只读初始化参数设置为 false),可以通过特制的请求将 JSP 文件上传到服务器。然后可以请求这个 JSP,并且它包含的任何代码都将由服务器执行。 二、漏洞影响 7.0.0 < A
Tomcat PUT 方法任意写文件漏洞(CVE-2017-12615)复现
weixin_47498728的博客
01-06 1225
tomcat本身不允许上传 jsp 文件,但是1.jsp/ 加了 / 就不是 jsp 文件,所以文件可以成功上传。系统保存文件时因为不能存在/字符,所以/被忽略了,所以文件名从 1.jsp/ -> 1.jsp,至此jsp文件完成了上传并保存。
Tomcat PUT方法任意写文件(CVE-2017- 12615)漏洞复现
weixin_51198941的博客
09-06 559
CVE-2017-12615是Apache Tomcat的一个远程代码执行漏洞。该漏洞影响Apache Tomcat 7.0.0至7.0.79版本(7.0.81修复不完全)。漏洞原理Tomcat 运行在 Windows 主机上,且启用了HTTP PUT
tomcat设置put delete提交
DreamBoyMrsLin的博客
05-14 1637
tomcat默认就是不允许PUTDELETE的 如何配置Tomcat支持HTTP DeletePut 方法tomcat web.xml文件中配置org.apache.catalina.servlets.DefaultServlet的&lt;init-param&gt; &lt;param-name&gt;readonly&lt;/param-name&gt; &lt;param...
Tomcat put提交处理
persist_z的博客
08-24 232
在使用SSM编写时发现put请求的前端传输的参数无法自动填充到参数当中,spring mvc对于 put方法支持并不是很好,在web.xml当中特别配置put过滤器即可一下即可 <!--put请求参数--> <filter> <filter-name>HttpMethodFilter</filter-name> <filter-class>org.springframework.web.filter.HttpPutForm
tomcat服务器与Http协议之请求(get请求、post请求)响应
tideseng的博客
04-13 9538
1 Web开发入门 /* 1.1 引入 之前的程序: java桌面程序,控制台控制,socket gui界面。javase规范 现在以后的程序:java web程序。浏览器控制。javaee规范 1.2 软件的结构 C/S (Client - Server 客户端-服务器端) 典型应用:QQ软件 ,飞秋,红蜘蛛。 特点: 1)必须下载特定的客户端程序。
让IIS支持.NET Web Api PUTDELETE请求
寒冰屋的专栏
07-18 344
有很长一段时间没有使用过IIS来托管应用了,今天用IIS来托管一个比较老的.NET Fx4.6的项目。发布到线上后居然一直调用不同本地却一直是正常的,关键是POSTGET请求都是正常的,只有PUTDELETE请求是有问题的。经过一番思考忽然想起来了IIS默认情况下拒绝处理PUTDELETE请求,要支持这两种请求的话需要做一些配置
PUTDELETE部署在内网服务器后 外网无法请求的问题
weixin_52531602的博客
12-09 5831
PUTDELETE部署后无法请求到的问题
如何在Tomcat配置安全约束以禁用WebDAV的危险HTTP方法,如DELETEPUT、TRACEOPTIONS?请详细说明过程。
最新发布
11-08
Tomcat中间件中禁用WebDAV方法,特别是危险的HTTP方法(如DELETEPUT、TRACEOPTIONS),对于提升服务器安全性是非常必要的。这些HTTP方法通常用于WebDAV协议,但它们也可能被恶意用户利用来进行攻击或篡改服务器上的文件。以下是详细的安全配置步骤: 参考资源链接:[禁用Tomcat中间件WebDAV方法配置教程](https://wenku.youkuaiyun.com/doc/482kyg9xeh?spm=1055.2569.3001.10343) 1. 打开Tomcat配置目录,通常位于`conf`目录下。确保你有权限修改配置文件,并备份原有的配置文件,以备不时之需。 2. 在`conf`目录下找到`web.xml`文件。这个文件是Tomcat服务器全局Web应用程序的配置文件,所有的安全配置都在这里进行定义。 3. 打开`web.xml`文件,并在文件的末尾添加安全约束的配置代码。这段代码将定义哪些HTTP方法被禁用: ```xml <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>DELETE</http-method> <http-method>PUT</http-method> <http-method>TRACE</http-method> <http-method>OPTIONS</http-method> </web-resource-collection> <auth-constraint> </auth-constraint> </security-constraint> ``` 这段配置中,`<url-pattern>/*</url-pattern>`表示对所有URL应用此安全约束,`<http-method>`标签内的方法则是要被禁用的HTTP方法。`<auth-constraint>`标签为空,意味着所有尝试使用这些HTTP方法的请求都将被拒绝,无需通过身份验证。 4. (可选)如果需要为访问这些受限制资源的请求添加身份验证,可以进一步配置`<login-config>`标签,并指定身份验证方法(如BASIC、FORM或DIGEST)。 5. 完成修改后,保存`web.xml`文件。根据Tomcat的版本具体配置,可能需要重启Tomcat服务器来使新的配置生效。 6. 最后,建议定期更新Tomcat到最新版本,检查并应用安全补丁,以及配置防火墙规则以进一步增强安全性。 通过上述步骤,你可以在Tomcat服务器上有效地禁用WebDAV的危险HTTP方法,减少潜在的安全风险。如果需要更深入的了解如何配置Tomcat以提高安全性,以及如何处理复杂的网络环境下的安全问题,可以参考《禁用Tomcat中间件WebDAV方法配置教程》。这份资料提供了详细的配置步骤安全策略,帮助你建立起更加牢固的安全防线。 参考资源链接:[禁用Tomcat中间件WebDAV方法配置教程](https://wenku.youkuaiyun.com/doc/482kyg9xeh?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值