如何在jboss服务器5中禁用HTTP TRACE方法? 我试过这个骗局 d:\ jboss-5.1.0.GA \服务器\ DEFAULT \部署\ jbossweb.sar \ server.xml中
但仍然无效
答案 0 :(得分:1)
有以下方法可以限制Web应用程序中的HTTP方法:
在web.xml中添加安全性约束
<安全约束> <网上资源收集和GT; <网络资源名称> noaccess下 < url-pattern的> / * < HTTP的方法> DELETE < HTTP的方法> TRACE < HTTP的方法>选项 < AUTH-约束/> 所有URL都限制DELETE,TRACE和OPTIONS。 curl -kvv -X DELETE< URL>会给403 Forbidden
在domain.xml中使用重写规则
< subsystem xmlns =“urn:jboss:domain:web:1.1”default-virtual-server =“default-host”native =“false”> < connector name =“http”protocol =“HTTP / 1.1”scheme =“http”socket-binding =“http”/> < virtual-server name =“default-host”enable-welcome-root =“true”> < rewrite pattern =“。*”substitution =“ - ”flags =“F”> < condition test =“%{REQUEST_METHOD}”pattern =“^(DELETE | TRACE | OPTIONS)$”flags =“NC”/>
在httpd
RewriteEngine On
RewriteCond%{REQUEST_METHOD} ^(DELETE | TRACE | OPTIONS)$ [NC]
RewriteRule。* - [F]