HTTP --- 基础 禁用PUT、DELETE、TRACE等方法

最新推荐文章于 2024-05-28 19:44:41 发布
原创 最新推荐文章于 2024-05-28 19:44:41 发布 · 7.6k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#http

博客围绕HTTP服务展开,重点介绍了禁用PUT、DELETE、TRACE等危险方法。具体说明了在tomcat中可通过在应用程序的web.xml添加代码实现,还提及了jetty禁用相关方法的两种方式,包括基于xml配置和springboot 2.X项目中使用jetty容器的情况。

HTTP — 基础 禁用PUT、DELETE、TRACE等方法

HTTP 服务

在httpd.conf中增加,只允许GET、POST、OPTIONS方法

<Location "/"> AllowMethods GET POST OPTIONS </Location>

重启apache

systemctl restart httpd.service

tomcat 禁用PUT、DELETE、TRACE等危险方法

在应用程序的web.xml中添加如下的代码即可:

<security-constraint>    
	<web-resource-collection>    
		<url-pattern>/*</url-pattern>    
		<http-method>PUT</http-method>    
		<http-method>DELETE</http-method>    
		<http-method>OPTIONS</http-method>    
		<http-method>TRACE</http-method>    
	</web-resource-collection>    
	<auth-constraint>    
	</auth-constraint>    
</security-constraint>    
<login-config>    
	<auth-method>BASIC</auth-method>    
</login-config>

jetty禁用http put和delete等方法的方式

1. 基于xml的配置方式

<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>PUT</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>

2. springboot项目,容器是jetty,版本 springboot 2.X


```java
@Bean
public JettyServletWebServerFactory createJettyServletWebServerFactory() {
return new JettyServletWebServerFactory(){
@Override
protected void postProcessWebAppContext(WebAppContext webAppContext) {

HttpConstraintElement disable = new HttpConstraintElement(ServletSecurity.EmptyRoleSemantic.DENY);
HttpMethodConstraintElement put = new HttpMethodConstraintElement("PUT", disable);
HttpMethodConstraintElement delete = new HttpMethodConstraintElement("DELETE", disable);
HttpMethodConstraintElement head = new HttpMethodConstraintElement("HEAD", disable);


ServletSecurityElement sse = new ServletSecurityElement(Arrays.asList(put, delete, head));
List<ConstraintMapping> mappings = ConstraintSecurityHandler.createConstraintsWithMappingsForPath("disable", "/*", sse);

ConstraintSecurityHandler csh = new ConstraintSecurityHandler();
csh.setConstraintMappings(mappings);
webAppContext.setSecurityHandler(csh);
}
};
}


*备注:不允许的情况下访问就会报告 http 403 forbidden 错误。*
Apache服务器关闭TRACE Method请求方式的方法
09-15
主要介绍了Apache服务器关闭TRACE Method请求方式的方法,因为支持该方式的服务器存在跨站脚本漏洞,需要的朋友可以参考下
tomcat禁止PUT方法
03-29
tomcat禁止PUT方法,记录下来方便以后使用
Tomcat--启动了安全HTTP方法解决办法
JustinQin
11-18 1万+
一、问题描述 平时我们项目中基本上用的都是GET/POST请求方法,其他的方法是很少用到的,如PUT/DELETE/HEAD/OPTIONS/TRACE关闭这些HTTP请求方法,是常见的web漏洞之一。 二、解决办法 把他们关闭即可!!! 添加以下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加,也可以在tomcat/conf/web.xml中添加 ...
TOMCAT关闭安全HTTP方法PUTDELETETRACE、OPTIONS等)
06-11 5283
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
apache禁用PUTDELETETRACE等危险方法
linwha1990的博客
09-30 5828
httpd.conf中增加,只允许GET、POST、OPTIONS方法 <Location "/"> AllowMethods GET POST OPTIONS </Location> 重启apache systemctl restart httpd.service
jetty禁用http putdelete方法的方式
shuipinglp的专栏
10-30 2285
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
linux中Jetty的安装和配置方法
01-10
Jetty Jetty 是一个开源的servlet容器,它为基于Java的web内容,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。(Jetty是一个开源的软件,可以作为HTTP服务,javax.servlet的容器。) 配置jetty server的步骤:        创建server        配置connector        配置handler        配置servlet    
如何禁止必要的 HTTP 方法,如DELETEPUT,OPTIONS等协议访问应用程序
热门推荐
BabyFace゛‐尐蔡。的博客
02-01 1万+
一、修改应用程序的server.xml文件的协议为HTTPS,       disableUploadTimeout="true" enableLookups="false" maxThreads="25"      keystoreFile="d:\tomcat.keystore" keystorePass="111111"     protocol="org.apache.coyote
如何禁用 HTTP TRACE/TRACK
暴暴风的博客
11-09 1万+
远端WWW服务支持TRACE请求
如何在Tomcat中配置安全约束以禁用WebDAV的危险HTTP方法,如DELETEPUTTRACE和OPTIONS?请详细说明过程。
11-08
在Tomcat中间件中禁用WebDAV方法,特别是危险的HTTP方法(如DELETEPUTTRACE和OPTIONS),对于提升服务器安全性是非常必要的。这些HTTP方法通常用于WebDAV协议,但它们也可能被恶意用户利用来进行攻击或篡改...
jetty java 禁用目录列表_jetty禁用http putdelete方法的方式
weixin_29009669的博客
02-17 273
1. 基于xml的配置方式Example Security ConstraintProtected Area/*DELETEHEADPUT2. springboot项目,容器是jetty,版本 springboot 2.X@Beanpublic JettyServletWebServerFactory createJettyServletWebServerFactory() {return new...
禁用app里面的java_【Azure 应用服务】App Service中,为Java应用配置自定义错误页面,禁用DELETE, PUT方法...
weixin_36371906的博客
02-25 267
问题定义使用Azure应用服务(App Service),部署Java应用,使用Tomcat容器,如何自定义错误页面呢?同时禁用DELETE, PUT方法解决办法如何自定义错误页面呢?需要在 Java 的 web.xml 进行配置 error-page,具体内容如下:Welcome to Tomcatindex.jspWelcome to Tomcat404/404.html403/403.htm...
服务器禁用TRACE和TRACK方法
qq_38293154的博客
05-08 1万+
http://wenku.baidu.com/view/557d761ea8114431b90dd873.html http://wenku.baidu.com/view/de1f4ad2195f312b3169a50d.html http://www.myhack58.com/Article/html/3/62/2012/32870.htm (http TRACE 跨站攻击漏洞测试与防御修复)...
同层面禁用PUTDELETE、HEAD、TRACE、OPTIONS请求方式
因为热爱,所以付出
05-14 8284
背景 对于一些对安全级别要求高的应用,可能只允许有GET和POST请求,其他请求方式需要禁用,那么可以从多个层面来进行禁用。下面从大范围禁用到小范围禁用罗列如下(假定服务容器是tomcat) 从tomcat层面禁用 从tomcat来禁用,表示tomcat中所有运行的应用都禁用这些请求方法 修改apache-tomcat/conf/web.xml,在<session-config></session-config>节点后面新增禁用配置: <session-config>
Java SpringBoot项目限制PUTDELETETRACE、OPTIONS、PATCH等危险的方法的访问
mekings13的博客
05-28 1801
在项目运行过程中,会遇到客户拿项目去进行漏洞检测的情况,检测第三方大部分会提出这个问题,将除了get post其他的请求方式全部屏蔽,本篇文章将讲一下如何屏蔽。SpringBoot项目中可以使用filter过滤器来拦截请求。书写一个 HttpMethodFilter 过滤器。
安全HTTP方法
冰雨蝶皇的博客
07-17 9682
近日,一个上线很久的项目,后台使用curl测试时发现了一个漏洞:安全HTTP方法,如下图所示: 一、HTTP方法 根据HTTP标准,HTTP请求可以使用多种方法,其如下所示: HTTP1.0定义了三种请求方法:GET、POST和HEAD HTTP1.1新增了五种请求方法:OPTIONS、PUTDELETETRACE和CONNECT WebDAV (Web-based Dist...
如何在Jetty中禁用Trace方法
qq_33479841的博客
11-18 4996
1.概述 在最近一次的服务器漏洞检测中,我们线上的某个服务检测出漏洞:远端www服务支持TRACE请求。由于服务是基于springboot开发,容器选择的是内置的Jetty,所以本文针对的是Jetty容器如何禁止接收HTTP TRACE请求。 2.解决方案 2.1 什么是Trace Trace请求是HTTP请求的一种,可以用来回显服务器收到的请求,主要用于测试或诊断。个人之前基本没关注过这个请求方法,只知道它是HTTP请求的一种。TRACE方法本用于客户端测试到服务器的网络通路,通过允许客户端知道请求链另
禁用安全http方法
qq_31225293的博客
02-27 1万+
上线很久的项目,后面用curl测出了一个漏洞,安全http方法 在网上搜索了很多都是一种解决办法,但是我这边都行,现在我来说说我的解决办法首先解决OPTIONS的:修改自己应用的web.xml,添加如下配置:&lt;security-constraint&gt;         &lt;web-resource-collection&gt;              &lt;url-patt...
禁用HTTP跟踪/跟踪
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
07-24 3781
完整请求(包括HTTP标头,可包括cookie或身份验证数据等敏感信息)将在TRACE响应的实体主体中返回。该请求主要由开发人员用于测试和调试HTTP应用程序,并且在大多数Web服务器软件中默认可用。2、Doris部署BE后端时,会使用python的SimpleHTTPServer(生产环境建议使用,它只实现了简单的安全性)或http.server模块(建议生产)来快速实现web服务。3、基于上,更换doris的web为http或nginx来实现。在http和nginx上实现禁用trace。...
允许HTTP TRACE / TRACK方法 禁用
最新发布
06-19
### 禁用HTTP TRACE和TRACK方法的实现方式 为了提高Web服务器的安全性,禁用HTTP TRACE和TRACK方法是一种常见的安全实践。以下将详细介绍如何在同类型的Web服务器上实现这一目标。 #### 在IIS上禁用TRACE和TRACK方法 对于IIS服务器,可以通过修改网站的`Web.config`文件来禁用TRACE和TRACK方法。具体配置如下: ```xml <configuration> <system.webServer> <security> <requestFiltering> <verbs> <add verb="OPTIONS" allowed="false" /> <add verb="Trace" allowed="false" /> </verbs> </requestFiltering> </security> </system.webServer> </configuration> ``` 通过上述配置,可以确保IIS会处理TRACE和TRACK请求[^1]。 #### 在Spring Boot内置Undertow服务器上禁用TRACE和TRACK方法 如果使用的是Spring Boot内置的Undertow服务器,可以通过自定义配置类来禁用TRACE和TRACK方法。例如,创建一个配置类并覆盖默认的Undertow初始化逻辑: ```java import io.undertow.server.HttpHandler; import io.undertow.server.HttpServerExchange; import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class UndertowConfig { @Bean public UndertowServletWebServerFactory undertowServletWebServerFactory() { UndertowServletWebServerFactory factory = new UndertowServletWebServerFactory(); factory.addDeploymentInfoCustomizers(deploymentInfo -> deploymentInfo.addInitialHandlerChainWrapper(httpHandler -> (exchange, chain) -> { if ("TRACE".equalsIgnoreCase(exchange.getRequestMethod()) || "TRACK".equalsIgnoreCase(exchange.getRequestMethod())) { exchange.setResponseCode(405); // Method Not Allowed exchange.endExchange(); return; } chain.proceed(); })); return factory; } } ``` 通过上述代码,可以拦截所有TRACE和TRACK请求,并返回405状态码以表示这些方法被允许[^2]。 #### 在Tomcat上禁用TRACE和TRACK方法 对于Tomcat服务器,可以通过修改`web.xml`文件来禁用TRACE和TRACK方法。在`web.xml`中添加以下配置: ```xml <security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> </web-resource-collection> <auth-constraint /> </security-constraint> <login-config> <auth-method>BASIC</auth-method> </login-config> ``` 此外,还需要确保在`server.xml`中设置`allowTrace="false"`,以防止TRACE请求被允许: ```xml <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" allowTrace="false" redirectPort="8443" /> ``` 通过上述配置,可以有效禁用TRACE和TRACK方法[^3]。 #### 在Apache上禁用TRACE和TRACK方法 对于Apache服务器,可以在`.htaccess`文件或主配置文件中添加以下指令来禁用TRACE和TRACK方法: ```apache TraceEnable off ``` 该指令会直接禁用TRACE方法。对于TRACK方法,通常需要额外配置,因为大多数现代版本的Apache已默认禁用TRACK方法[^3]。 #### 在Spring Security中禁用TRACE和TRACK方法 如果使用Spring Security框架,可以通过配置`HttpSecurity`对象来禁用特定的HTTP方法。例如,在Spring Security配置类中添加以下代码: ```java import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.httpMethodRestrict() .and() .authorizeRequests() .antMatchers("TRACE", "TRACK").denyAll(); } } ``` 通过上述配置,可以确保Spring Security会处理任何TRACE或TRACK请求[^5]。 ### 注意事项 - 禁用TRACE和TRACK方法的主要目的是防止潜在的跨站脚本攻击(XSS)[^4]。 - 配置完成后,建议使用工具(如`curl`)测试服务器是否仍然响应TRACE或TRACK请求。 ```bash curl -v -X TRACE http://<ip>:<port> ``` 如果服务器返回405状态码,则说明配置成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值