欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

web安全—tomcat禁用WebDAV或者禁止不需要的 HTTP 方法

程序员文章站 2022-04-06 22:41:24
webdav webdav (web-based distributed authoring and versioning)是基于 http 1.1 的一个通信协议。它为...

webdav

webdav (web-based distributed authoring and versioning)是基于 http 1.1 的一个通信协议。它为 http 1.1 添加了一些扩展(就是在 get、post、head 等几个 http 标准方法以外添加了一些新的方法),使得应用程序可以直接将文件写到 web server 上,并且在写文件时候可以对文件加锁,写完后对文件解锁,还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 web 作为一种创作媒体对于我们的价值。基于 webdav 可以实现一个功能强大的内容管理系统或者配置管理系统。
现在主流的web服务器一般都支持webdav,使用webdav的方便性,呵呵,就不用多说了吧,用过vs.net开发asp.net应用的朋友就应该 知道,新建/修改web项目,其实就是通过webdav+frontpage扩展做到的,下面我就较详细的介绍一下,webdav在tomcat中的配 置。

如何禁止

如何禁止delete、put、options、trace、head等协议访问应用程序应用程序呢?

解决方法
第一步:修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="utf-8"?> 
<web-app xmlns="http://java.sun.com/xml/ns/j2ee" 
 xmlns:xsi="http://www.w3.org/2001/xmlschema-instance" 
 xsi:schemalocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" 
 version="2.4"> 

第二步:在应用程序的web.xml中添加如下的代码即可

<security-constraint> 
 <web-resource-collection> 
  <url-pattern>/*</url-pattern> 
  <http-method>put</http-method> 
<http-method>delete</http-method> 
<http-method>head</http-method> 
<http-method>options</http-method> 
<http-method>trace</http-method> 
 </web-resource-collection> 
 <auth-constraint> 
 </auth-constraint> 
 </security-constraint> 
 <login-config> 
 <auth-method>basic</auth-method> 
 </login-config>