0

我在 Tomcat 中部署了一个 Web 项目。
我已经运行了各种测试,包括安全工具测试。
其中一项测试报告说,使用OPTIONS它可以检测HTTP每个应用程序 URL 的可接受请求。
我的问题是如何禁用此功能?
我不确定为什么会这样。servlet 实现POST但不实现其余方法。
这是编程问题吗?例如,我应该覆盖doOptions,还是我可以在 Tomcat 实例中配置一些东西并摆脱它?

谢谢

4

1 回答 1

1

我认为最好的解决方案是将 Tomcat 隐藏在强化的反向代理后面。您可以通过安全代理传递整个 http(s) 流量。它可以检测攻击的企图并阻止它们。它可以执行访问控制和终止 SSL。例如,WebSphere DataPower 或 WebSEAL 可以用作这样的代理。您甚至可以为此目的使用 Apache HTTP Server。 在此处输入图像描述

于 2011-07-11T21:02:03.530 回答