How to disable certain HTTP methods (PUT, DELETE, TRACE and OPTIONS) in JBOSS7

最新推荐文章于 2024-09-24 23:30:41 发布
原创 最新推荐文章于 2024-09-24 23:30:41 发布 · 4.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了三种禁用特定HTTP方法的方法:使用RewriteValve全局配置、通过web.xml中的安全约束进行WAR级别的限制以及利用Apache httpd的mod_rewrite模块。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Resolution

Option 1 -Using RewriteValve (can apply globally)

You can use RewriteValve to disable the http methods. Take a look atdocumentation http://docs.jboss.org/jbossweb/2.1.x/rewrite.html.You will need one RewriteCond directive and one RewriteRule.

In your RewriteCond directive you could specify all methods with use of the REQUEST_METHOD servervariable, for example:

RewriteCond %{REQUEST_METHOD} ^(PUT|DELETE|TRACE|OPTIONS)$ [NC]

then your RewriteRule can mark those as forbidden (it immediately sends back aHTTP response of 403 (FORBIDDEN)), for example:

RewriteRule .* - [F]

For EAP6:

RewriteValve can be configured asglobal valve in domain.xml or standalone.xml. You can add the <rewrite> tag to the <virtual-server> configuration of the web subsystem.

.. ..

<subsystem xmlns="urn:jboss:domain:web:1.1"default-virtual-server="default-host" native="false">

    <connector name="http" protocol="HTTP/1.1"scheme="http" socket-binding="http"/>

    <virtual-server name="default-host"enable-welcome-root="true">

        <rewritepattern=".*" substitution="-" flags="F">

           <condition test="%{REQUEST_METHOD}"pattern="^(PUT|DELETE|TRACE|OPTIONS)$" flags="NC" />

    </rewrite>

    </virtual-server>

</subsystem>

.. ..

Option 2 - web.xml Security constraints(per WAR)

This can be done by adding security constraints to theapplication's web.xml. For example:

.. ..

<security-constraint>

    <web-resource-collection>

       <web-resource-name>NoAccess</web-resource-name>

       <url-pattern>/*</url-pattern>

         <http-method>DELETE</http-method>

         <http-method>PUT</http-method>

         <http-method>OPTIONS</http-method>

         <http-method>TRACE</http-method>

         <http-method>POST</http-method>

    </web-resource-collection>

    <auth-constraint/>

</security-constraint>

.. ..

In the above example, access the following http requests DELETE, PUT, OPTIONS, POST aredisabled by default.

You can also restrict all methods other than explicitlyallowed ones by doing like:

.. ..

<security-constraint>

    <web-resource-collection>

       <web-resource-name>NoAccess</web-resource-name>

       <url-pattern>/*</url-pattern>   

    </web-resource-collection>   

    <auth-constraint/>

</security-constraint>

<security-constraint> 

    <web-resource-collection>    

        <web-resource-name>AllowedMethods</web-resource-name>    

        <url-pattern>/*</url-pattern>    

          <http-method>GET</http-method>

         <http-method>POST</http-method>

         <http-method>HEAD</http-method>

    </web-resource-collection>

</security-constraint>

.. ..

See the Java ServletSpecification and also The Java EE 5Tutorial - "Declaring Security Requirements in a DeploymentDescriptor" for more information.

Option 3 -Using Apache httpd mod_rewrite in front of JBoss

If you are fronting JBoss with Apache httpd, you can alsoapply the above rewrite rules in the httpd.conf.:

For example:

RewriteEngine On

 

RewriteCond %{REQUEST_METHOD} ^(PUT|DELETE|TRACE|OPTIONS)$ [NC]

RewriteRule .* - [F]

To verify theabove configuration:

You can use curl command to test if the configuration change iseffective: For example:

curl -v -XTRACE http://hostname:port/appContext

curl -v -XDELETE http://hostname:port/appContex

10_Flink Streaming jobSubmit
codemosi的专栏,点击我可以跳到目录一栏
06-09 8371
./bin/flink run ./examples/batch/WordCount.jar 通过shell提交job后。flink将程序产生的jobGraph和jar包传给 jobmanager(简称JM)。再由jobmanager(类似nimbus)将任务分解到taskmanager(一个jvm带一个taskmanager)运行。 JM将jobGraph转化成executionGrap
在apache禁止 http OPTIONS方法. apache disable http OPTIONS method
kimsung的专栏
04-17 1万+
Deny from all 或者用rewrite RewriteCond %{REQUEST_METHOD} ^(OPTIONS) RewriteRule .* - [F]
TOMCAT关闭不安全的HTTP方法(PUTDELETETRACEOPTIONS等)
06-11 5175
WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 Web Server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 Web 作为一种创作媒体对于我们的价值。基于 WebDAV 可以
apache禁用不安全的http法_在apache禁止 http OPTIONS方法. apache disable http OPTIONS method...
weixin_39847556的博客
01-14 823
v512345:转载地址:http://www.cnblogs.com/xuanhun/p/3610981.html|@|针对点击劫持的基本防御方法。|@|1.2 Frame Bursters|@||@|这是在页面上通过脚本来防止点击劫持或者iframe恶意请求的方式,本文不做介绍,详见http://seclab.stanford.edu/websec/framebusting/framebus...
http请求方法(GET、POST、HEAD、OPTIONSPUTDELETETRACE、CONNECT)
热门推荐
番薯大佬的专栏
08-05 4万+
根据HTTP标准,HTTP请求可以使用多种请求方法。 HTTP的1.0版本中只有三种请求方法: GET, POST 和 HEAD方法。到了1.1版本时,新增加了五种请求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。 GET 请求指定的页面信息,并返回实体主体。 GET请求请提交的数据放置在HTTP请求协议头中,GET方法通过URL请求来传递用户的输入,G
Spring boot 内置tomcat禁止不安全HTTP方法
井底之蛙
10-16 2万+
1、在tomcat的web.xml中可以配置如下内容,让tomcat禁止不安全的HTTP方法 /* PUT DELETE HEAD OPTIONS TRACE BASIC 2、Spring boot使用内置tomcat,没有web.xml配置文件,可以通过
Spring Security 安全认证
Demo_Null
10-12 975
Spring Security 动态配置用户以及加密算法
整合SpringSecurity框架经典报错
2302_76552486的博客
09-24 659
报错描述Description: Field userDetailsService in com.atguigu.security.config.WebSecurityConfig required a bean of type 'org.springframe
安全约束 security Constraint
southwind1的博客
08-04 1482
以spring boot为例,因为spring boot中内嵌tomcat。
WEB漏洞——启动了不安全的HTTP方法解决办法
崔向阳@李晓的博客
12-06 2096
一问题描述: IBM Security AppScan Standard给出系统安全报告: 解决办法: 添加一下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加: <!-- close insecure http methods --> <security-constraint> <web-resourc...
web服务器启用了不安全的HTTP方法
bobozai86的博客
09-14 8442
1、什么是不安全的HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
安全漏洞:后端禁用不安全的http方法
阿强的博客
04-26 1610
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETEPUTTRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。 解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码: <security-constraint> <web-resource-colle...
Tomcat全局/局部https访问配置方法【tomcat容器的配置文件web.xml中添加security-constraint】
Thinking
08-01 1万+
文章来源:
Http 请求方法(GET、POST、HEAD、OPTIONSPUTDELETETRACE、CONNECT)
肖朋伟
04-20 2229
Http 请求方法(GET、POST、HEAD、OPTIONSPUTDELETETRACE、CONNECT) 参考:https://blog.youkuaiyun.com/haif_city/article/details/78333213 参考:https://blog.youkuaiyun.com/potato512/article/details/76696582 根据HTTP标准,HTTP请求可以使用多种请...
Tomcat服务器中,如何通过安全约束配置来禁用WebDAV的危险HTTP方法,如DELETEPUTTRACEOPTIONS,以保护Java项目的Web应用程序?
最新发布
11-08
在Web服务器中,如Tomcat,禁用特定HTTP方法是确保Web应用程序安全的重要步骤。特别是针对WebDAV所使用的DELETEPUTTRACEOPTIONS方法,这些方法若被恶意使用,可能导致未授权的文件操作或信息泄露。要禁用这些方法,可以通过配置安全约束(security-constraint)来实现。以下是详细的操作步骤: 参考资源链接:[禁用Tomcat中间件WebDAV方法的配置教程](https://wenku.youkuaiyun.com/doc/482kyg9xeh?spm=1055.2569.3001.10343) 首先,找到Tomcat服务器的配置文件`web.xml`。这个文件位于`conf`目录下,其中包含了所有Web应用程序的全局配置。 在`web.xml`文件的适当位置,添加以下安全约束配置段落: ```xml <security-constraint> <web-resource-collection> <web-resource-name>Disable Dangerous Methods</web-resource-name> <url-pattern>/*</url-pattern> <http-method-omission>DELETE</http-method-omission> <http-method-omission>PUT</http-method-omission> <http-method-omission>TRACE</http-method-omission> <http-method-omission>OPTIONS</http-method-omission> </web-resource-collection> <auth-constraint /> </security-constraint> ``` 在这个配置中,`<http-method-omission>`元素指定了要忽略的方法,即不允许这些方法被Web应用程序使用。`<auth-constraint />`表示不指定任何角色,意味着所有用户都将被禁止使用这些方法,而不需要进行身份验证。 在完成配置后,保存`web.xml`文件,并重启Tomcat服务器以使新的安全配置生效。这样,所有对服务器发起的DELETEPUTTRACEOPTIONS请求都将被拦截和拒绝。 为确保更全面的安全,建议采取以下额外措施: - 定期更新Tomcat到最新版本,以修补已知漏洞。 - 配置防火墙规则,限制对Tomcat服务器端口的访问。 - 启用SSL/TLS加密通信。 - 对敏感应用程序强制使用HTTPS,并确保SSL连接。 - 监控服务器日志,以便及时发现可疑活动。 了解如何在Tomcat中配置安全约束,是保护Java Web项目免受未授权访问威胁的关键。为了更深入地理解和实施安全最佳实践,推荐阅读《禁用Tomcat中间件WebDAV方法的配置教程》。该资料不仅详细解释了禁用WebDAV方法的步骤,还提供了其他安全加固措施,有助于构建更加安全和可靠的服务器环境。 参考资源链接:[禁用Tomcat中间件WebDAV方法的配置教程](https://wenku.youkuaiyun.com/doc/482kyg9xeh?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值