2

Tomcat 错误403 the request body was too large to be cashed during authentication process

它与 maxSavePostSize 设置其当前默认值相关,即 4096 (4KB)。在谷歌搜索中,人们建议 -1(不受限制)。这是否意味着它可能会受到 DOS 攻击?你有什么建议?

4

1 回答 1

4

在不受信任的用户可以访问的 Tomcat 实例上将 maxSavePostSize 设置为 -1 将是一件非常愚蠢的事情,因为 - 正如您正确怀疑的那样 - 它会使服务器受到 DoS 攻击。

此设置仅在身份验证期间需要保存 POST 的内容时使用。即,当未经身份验证的用户 POST 请求受 FORM 或 CLIENT-CERT 身份验证保护的资源时。

有几个解决方案:a) 以这样一种方式构建您的应用程序,使用户在能够访问触发 POST 的页面之前始终经过身份验证 b) 将 maxSavePostSize 增加到您希望应用程序必须处理的最大 POST。如果这比 4k 大得多,那么您可能仍然容易受到 DoS 攻击。

顺便说一句,请确保您没有将此设置与 maxPostSize 混淆。

于 2012-05-07T14:12:11.927 回答