如何在java中的应用程序中禁用不安全的HTTP方法

时间:2015-08-17 10:32:04

标签: java rest tomcat servlets security-constraint

我有一个在Restful webservice和java中开发的Web应用程序。我使用泽西岛图书馆。我的团队在应用程序上运行了Appscan工具。该工具说 在https:/// AppName /。

上启用了不安全的HTTP方法

编辑: 1.我想知道如何在这里禁用DELETE方法。 2.当我向服务器发出选项请求时,它不应该在标头中的允许方法中列出删除方法。 提前谢谢。

1 个答案:

答案 0 :(得分:4)

web.xml中定义一个安全约束,在所需的URL模式和给定的HTTP方法上使用空的auth约束。

以下示例限制所有DELETETRACE请求,无论网址和用户如何。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Restricted HTTP methods.</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>DELETE</http-method>
        <http-method>TRACE</http-method>
        <!-- You can specify multiple HTTP methods here. -->
    </web-resource-collection>
    <auth-constraint />
</security-constraint>

效果是HTTP 403 Forbidden响应。

相关问题
最新问题