tomcat禁用PUT,DELETE等一些不必要的HTTP方法

前言

在項目進行滲透測試的時候，我們收到了第三方測試報告，要求我們禁用DELETE、PUT、TRACE、MOVE、COPY、OPTIONS等HTTP請求方法，降低可攻擊性。

解決辦法

在tomcat的web.xml中設置一些參數即可：

<web-app>

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"

version="2.4">

<security-constraint> /<security-constraint>

<web-resource-collection> /<web-resource-collection>

<url-pattern>/*/<url-pattern>

<http-method>PUT/<http-method>

<http-method>DELETE/<http-method>

<http-method>HEAD/<http-method>

<http-method>OPTIONS/<http-method>

<http-method>TRACE/<http-method>

<auth-constraint> /<auth-constraint>

<login-config> /<login-config>

<auth-method>BASIC/<auth-method>

"/<web-app>

閱讀更多 IT達人秀 的文章

關鍵字: BASIC語言 測試報告 禁用