spring boot使用内嵌的tomcat解决不安全的HTTP方法安全漏洞

最新推荐文章于 2025-07-03 17:00:55 发布
原创 最新推荐文章于 2025-07-03 17:00:55 发布 · 1.2w 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #安全漏洞 #tomcat #不安全的HTTP方法

在完成项目开发并进行安全测试时,发现存在不安全的HTTP方法漏洞。传统Web项目可通过过滤器拦截或修改tomcat的web.xml配置来解决。对于Spring Boot,由于使用内嵌Tomcat,可以在properties文件或通过代码方式进行配置以解决该问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--不安全的HTTP方法,如果对这个安全漏洞有不明白的地方,可以自行问度娘。

1、传统Web项目的解决方案

在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对不安全的方法进行拦截。下面,我们重点说下第二种方案,因为这种方案对所有可能存在此安全漏洞的系统都启作用,不用在每个系统中都进行处理。在tomcat的web.xml配置文件中,加如如下的配置文件:

<security-constraint>
            <web-resource-collection>
                <url-pattern>/*</url-pattern>
                <http-method>HEAD</http-method>
                <http-method>PUT</http-method>
                <http-method>DELETE</http-method>
                <http-method>OPTIONS</http-method>
                <http-method>TRACE</http-method>
                <http-method>COPY</http-method>
                <http-method>SEARCH</http-method>
                <http-method>PROPFIND</http-method>
            </web-resource-collection>
最低0.47元/天 解锁文章

200万优质内容无限畅学
禁用Springboot以jar方式使用内嵌tomcat安全http方法
chemyoo的博客
02-01 609
禁用Springboot以jar方式使用内嵌tomcat安全http方法
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
拉丁解牛技术专栏
08-15 1431
修改Springboot Tomcat内置版本,修复Tomcat 漏洞,网络安全问题
springboot解决安全HTTP请求方式安全漏洞
Think_and_work的博客
07-05 3120
springboot解决安全HTTP请求方式安全漏洞
springboot内置tomcat与外部tomcat配置https访问及http自动转向https
08-14
springboot内置tomcat与外部tomcat配置https访问及http自动转向https
Spring Boot 项目 90% 存在这 15 个致命漏洞!你的代码在裸奔吗?
最新发布
z1ztai的博客
07-03 878
项目中的安全问题容忽视,开发者需要时刻保持警惕,采取积极的措施来保护应用的安全安全无小事,防范胜于补救!希望大家都能重视 Spring Boot安全问题,让我们的应用更加安全可靠。
Spring boot 内置tomcat禁止安全HTTP方法
热门推荐
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止安全HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9473
文章目录安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 5134
内嵌tomcat升级版本
SpringBoot漏洞!Apache Tomcat有信息泄露风险(附解决方案)
Carlos_ForYou的博客
08-15 3172
解决Apache Tomcat信息泄露漏洞
启用了安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
spring boot项目和vue一起放在tomcat部署
11-13
spring boot项目和vue一起放在tomcat部署,spring boot项目和vue一起放在tomcat部署
SpringBoot解决Apache Tomcat输入验证错误漏洞
培根芝士的专栏
07-15 4069
ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)CVE编号漏洞描述Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证正确,会导致拒绝服务。修复方案目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版;
Springboot如何禁止安全Http方法tomcat可用)
qq_43248658的博客
05-24 8090
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbed...
spring boot 2.0之安全
weixin_34377065的博客
01-04 177
简介 如果在classpath上设置了spring 安全,默认的话其web 也是安全的。springboot依赖于spring安全声明策略决定是使用httpBasic或者formLogin,添加web应用的安全等级方法,可以使用@EnableGlobalMethodSecurity添加你想要的配置。 默认的认证管理是拥有一个单独的用户。如下所示...
springboot 开启http2
qq_36994771的博客
10-30 3446
http2 需要在 https的基础上开启 所以 这里需要先生成一份证书 #Java自带了一个密钥管理工具--keytool,利用这个工具,我们可以产生一份自签名的证书 C:\project\github\spring-component-use-demo>keytool -genkey -alias undertow -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -dname "CN=li, OU=zelin,
解决 Tomcat禁用OPTIONS协议(安全HTTP方法
p15097962069的博客
04-11 978
解决 Tomcat禁用OPTIONS协议(安全HTTP方法
【SrpingBootSpringBoot内置Tomcat报错+除错小技巧
陶洲川的博客
06-05 4490
今天运行程序的时候,发现如下错误: 根据网上博客的观点,是因为Tomcat端口被占用,当时用最low的办法,ctrl+alt+delete调出后台,把java.exe全关了,然后重启程序就好了,简单粗暴; 当时我有7-8个,这个截图是正常时候的截图; http://stackoverflow.com/questions/23432651/terminating
检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
blue_skye的专栏
10-10 1万+
受影响站点 *********** 详细描述 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些We...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值