How to disable certain HTTP methods (PUT, DELETE, TRACE and OPTIONS) in JBOSS7

最新推荐文章于 2025-09-15 04:54:06 发布
原创 最新推荐文章于 2025-09-15 04:54:06 发布 · 4.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了三种禁用特定HTTP方法的方法:使用RewriteValve全局配置、通过web.xml中的安全约束进行WAR级别的限制以及利用Apache httpd的mod_rewrite模块。

Resolution

Option 1 -Using RewriteValve (can apply globally)

You can use RewriteValve to disable the http methods. Take a look atdocumentation http://docs.jboss.org/jbossweb/2.1.x/rewrite.html.You will need one RewriteCond directive and one RewriteRule.

In your RewriteCond directive you could specify all methods with use of the REQUEST_METHOD servervariable, for example:

RewriteCond %{REQUEST_METHOD} ^(PUT|DELETE|TRACE|OPTIONS)$ [NC]

then your RewriteRule can mark those as forbidden (it immediately sends back aHTTP response of 403 (FORBIDDEN)), for example:

RewriteRule .* - [F]

For EAP6:

RewriteValve can be configured asglobal valve in domain.xml or standalone.xml. You can add the <rewrite> tag to the <virtual-server> configuration of the web subsystem.

.. ..

<subsystem xmlns="urn:jboss:domain:web:1.1"default-virtual-server="default-host" native="false">

    <connector name="http" protocol="HTTP/1.1"scheme="http" socket-binding="http"/>

    <virtual-server name="default-host"enable-welcome-root="true">

        <rewritepattern=".*" substitution="-" flags="F">

           <condition test="%{REQUEST_METHOD}"pattern="^(PUT|DELETE|TRACE|OPTIONS)$" flags="NC" />

    </rewrite>

    </virtual-server>

</subsystem>

.. ..

Option 2 - web.xml Security constraints(per WAR)

This can be done by adding security constraints to theapplication's web.xml. For example:

.. ..

<security-constraint>

    <web-resource-collection>

       <web-resource-name>NoAccess</web-resource-name>

       <url-pattern>/*</url-pattern>

         <http-method>DELETE</http-method>

         <http-method>PUT</http-method>

         <http-method>OPTIONS</http-method>

         <http-method>TRACE</http-method>

         <http-method>POST</http-method>

    </web-resource-collection>

    <auth-constraint/>

</security-constraint>

.. ..

In the above example, access the following http requests DELETE, PUT, OPTIONS, POST aredisabled by default.

You can also restrict all methods other than explicitlyallowed ones by doing like:

.. ..

<security-constraint>

    <web-resource-collection>

       <web-resource-name>NoAccess</web-resource-name>

       <url-pattern>/*</url-pattern>   

    </web-resource-collection>   

    <auth-constraint/>

</security-constraint>

<security-constraint> 

    <web-resource-collection>    

        <web-resource-name>AllowedMethods</web-resource-name>    

        <url-pattern>/*</url-pattern>    

          <http-method>GET</http-method>

         <http-method>POST</http-method>

         <http-method>HEAD</http-method>

    </web-resource-collection>

</security-constraint>

.. ..

See the Java ServletSpecification and also The Java EE 5Tutorial - "Declaring Security Requirements in a DeploymentDescriptor" for more information.

Option 3 -Using Apache httpd mod_rewrite in front of JBoss

If you are fronting JBoss with Apache httpd, you can alsoapply the above rewrite rules in the httpd.conf.:

For example:

RewriteEngine On

 

RewriteCond %{REQUEST_METHOD} ^(PUT|DELETE|TRACE|OPTIONS)$ [NC]

RewriteRule .* - [F]

To verify theabove configuration:

You can use curl command to test if the configuration change iseffective: For example:

curl -v -XTRACE http://hostname:port/appContext

curl -v -XDELETE http://hostname:port/appContex

vue2/3 - 报错You may use special comments to disable some warnings.(// eslint-disable-next-line解决方法教程)
高级前端工程师
01-23 4759
vue,eslint,vue2,vue3启动项目报错,运行项目报错,vue控制台报错解决You may use special comments to disable some warnings.,vue启动报错Use // eslint-disable-next-line to ignore the next line.vue项目无法启动怎么办,vue报错Use / eslint-disable / to ignore all warnings in a file.怎么解决,如何解决报错,怎么解决这个错误
Jeecg转换PUTDELETE到POST
yokoのBlog
10-25 1891
Jeecg转换PUTDELETE到POST
apache禁止 http OPTIONS方法. apache disable http OPTIONS method
kimsung的专栏
04-17 1万+
Deny from all 或者用rewrite RewriteCond %{REQUEST_METHOD} ^(OPTIONS) RewriteRule .* - [F]
TOMCAT关闭不安全的HTTP方法(PUTDELETETRACEOPTIONS等)
06-11 5288
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
apache禁用不安全的http法_在apache禁止 http OPTIONS方法. apache disable http OPTIONS method...
weixin_39847556的博客
01-14 859
v512345:转载地址:http://www.cnblogs.com/xuanhun/p/3610981.html|@|针对点击劫持的基本防御方法。|@|1.2 Frame Bursters|@||@|这是在页面上通过脚本来防止点击劫持或者iframe恶意请求的方式,本文不做介绍,详见http://seclab.stanford.edu/websec/framebusting/framebus...
http请求方法(GET、POST、HEAD、OPTIONSPUTDELETETRACE、CONNECT)
热门推荐
番薯大佬的专栏
08-05 4万+
根据HTTP标准,HTTP请求可以使用多种请求方法。 HTTP的1.0版本中只有三种请求方法: GET, POST 和 HEAD方法。到了1.1版本时,新增加了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 GET 请求指定的页面信息,并返回实体主体。 GET请求请提交的数据放置在HTTP请求协议头中,GET方法通过URL请求来传递用户的输入,G
Spring boot 内置tomcat禁止不安全HTTP方法
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全的HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
禁用Web服务器the TRACE and TRACK methods,修复80端口httpd漏洞:CVE-2003-1567
lf_she的博客
08-07 3018
漏洞报告显示: Medium (CVSS: 5.8) NVT: HTTP Debugging Methods (TRACE/TRACK) Enabled References cve: CVE-2003-1567 cve: CVE-2004-2320 cve: CVE-2004-2763 cve: CVE-2005-3398 cve: CVE-2006-4683 cve: CVE-2007-3008 cve: CVE-2008-7253 cve: CVE-2009-2823 cve: CVE-2010-03
How to configue session timeout in Hive
数据之路
01-12 3436
This article explains how to configure the following settings in Hive: hive.server2.session.check.interval hive.server2.idle.operation.timeout hive.server2.idle.session.timeout 1). hive.se
Use /* eslint-disable */ to ignore all warnings in a file.eslint报错
坚持原创
12-09 1万+
将根目录下的eslintrc.js文件中的no-console和no-debugger注释掉,重启就可以了
Spring Security 安全认证
Demo_Null
10-12 1004
Spring Security 动态配置用户以及加密算法
安全约束 security Constraint
southwind1的博客
08-04 1586
以spring boot为例,因为spring boot中内嵌tomcat。
整合SpringSecurity框架经典报错
2302_76552486的博客
09-24 735
报错描述Description: Field userDetailsService in com.atguigu.security.config.WebSecurityConfig required a bean of type 'org.springframe
Initialization Sequence datacenterId:16 workerId:10
qq_38254635的博客
11-19 684
Initialization Sequence datacenterId:16 workerId:10
Apache Tomcat的rewrite Valve(写门阀)可以用于修改和重定向URL,但它并不是一个专门用于防止SQL注入的工具
BLOG域名:programb.blog.youkuaiyun.com
05-19 899
RewriteRule反向引用:这些是形式为$ N(0
Tomcat中的HTTP方法安全配置:细粒度访问控制
最新发布
gitblog_00212的博客
09-15 787
在Web应用开发中,HTTP方法(如GET、POST、PUTDELETE等)的安全控制是保护应用免受未授权访问和恶意攻击的关键环节。错误的HTTP方法配置可能导致严重的安全漏洞,如数据泄露、数据篡改甚至服务器接管。据OWASP统计,不正确的HTTP方法配置是导致Web应用安全漏洞的前十大原因之一。 本文将详细介绍如何在Tomcat中实现HTTP方法的细粒度访问控制,包括基础配置、高级策略以及最...
WEB漏洞——启动了不安全的HTTP方法解决办法
崔向阳@李晓的博客
12-06 2122
一问题描述: IBM Security AppScan Standard给出系统安全报告: 解决办法: 添加一下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加: <!-- close insecure http methods --> <security-constraint> <web-resourc...
How to disable suspend in ubuntu
07-16
在Ubuntu系统中,禁用挂起功能可以通过多种方式实现,具体取决于用户希望在何种场景下禁用该功能。以下是几种常见的方法: ### 1. 禁用通过电源管理的自动挂起 Ubuntu 使用 `systemd` 来管理系统的电源状态,包括挂起(suspend)和休眠(hibernate)。可以通过修改 `logind.conf` 文件来禁用自动挂起功能。 编辑 `/etc/systemd/logind.conf` 文件: ```bash sudo nano /etc/systemd/logind.conf ``` 找到以下行并进行修改: ```ini HandleSuspendKey=ignore HandleLidSwitch=ignore ``` 保存文件后重启 `systemd-logind` 服务以应用更改: ```bash sudo systemctl restart systemd-logind ``` ### 2. 禁用通过图形界面的挂起选项 如果使用的是 GNOME 桌面环境,可以通过 GNOME 的设置工具来禁用挂起功能。安装 `dconf-editor` 工具并运行: ```bash sudo apt install dconf-editor dconf-editor ``` 导航到路径 `/org/gnome/settings-daemon/plugins/power/`,然后将 `sleep-inactive-ac-timeout` 和 `sleep-inactive-battery-timeout` 设置为 `0` 以禁用自动挂起。 ### 3. 完全移除挂起功能 如果希望完全禁用挂起功能,可以通过创建一个自定义的 `systemd` 服务来覆盖默认行为。创建一个新的服务文件: ```bash sudo nano /etc/systemd/system/disable-suspend.service ``` 添加以下内容: ```ini [Unit] Description=Disable Suspend [Service] Type=oneshot ExecStart=/bin/systemctl mask sleep.target [Install] WantedBy=multi-user.target ``` 启用并启动该服务: ```bash sudo systemctl enable disable-suspend.service sudo systemctl start disable-suspend.service ``` 此操作会阻止系统进入挂起状态,并且无法通过任何命令或快捷键触发挂起。 ### 4. 禁用通过内核参数 如果需要在系统启动时就完全禁用挂起功能,可以在 GRUB 配置中添加内核参数。编辑 `/etc/default/grub` 文件: ```bash sudo nano /etc/default/grub ``` 修改 `GRUB_CMDLINE_LINUX` 行以添加 `mem_sleep_default=deep` 参数: ```ini GRUB_CMDLINE_LINUX="... mem_sleep_default=deep" ``` 更新 GRUB 配置: ```bash sudo update-grub ``` 这种方法会直接影响系统的内存睡眠模式,从而限制挂起功能的行为。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值