java - 如何在 java 中的应用程序中禁用不安全的 HTTP 方法

Question

我有一个用 Restful webservice 和 java 开发的 web 应用程序。我正在使用泽西库。我的团队在应用程序上运行了 Appscan 工具。该工具显示在 https:///AppName/ 上启用了不安全的 HTTP 方法。

编辑：

我想知道如何在这里禁用 DELETE 方法。
当我向服务器发出选项请求时，它不应该在标题中的允许方法中列出删除方法。提前致谢。

score 5 · Accepted Answer

web.xml在所需的 URL 模式和给定的 HTTP 方法上使用空的身份验证约束定义安全约束。

下面的示例限制 ALLDELETE和TRACE请求，无论 URL 和用户如何。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Restricted HTTP methods.</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>DELETE</http-method>
        <http-method>TRACE</http-method>
        <!-- You can specify multiple HTTP methods here. -->
    </web-resource-collection>
    <auth-constraint />
</security-constraint>

效果是HTTP 403 Forbidden响应。

java - 如何在 java 中的应用程序中禁用不安全的 HTTP 方法

1 回答 1

Related

Reference