问题描述:通过fiddler,使用raw重现HTTP请求,修改GET为TRACE重新请求。tomcat返回405,head 包含
Allow:POST,GET,DELETE,OPTIONS,PUT,HEAD
解决方法:使用filter进行过滤和处理。
1.修改tomcat的server.xml,允许trace方法:<Connector allowTrace="true"
2.修改web.xml,添加filter
<filter> <filter-name>filterUtil</filter-name> <filter-class>com.utils.FilterUtil</filter-class> </filter> <filter-mapping> <filter-name>filterUtil</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
3.添加filter类
package com.utils; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.slf4j.Logger; import org.slf4j.LoggerFactory; public class FilterUtil implements Filter { Logger log=LoggerFactory.getLogger(this.getClass()); @Override public void destroy() { } @Override public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) arg0; HttpServletResponse response = ((HttpServletResponse) arg1); String m=request.getMethod(); if(!"GET".equals(m)&&!"POST".equals(m)){ System.out.println("GET or POST only "); response.setHeader("Allow", "GET,POST"); response.setStatus(405); return; } arg2.doFilter(arg0, arg1); } @Override public void init(FilterConfig arg0) throws ServletException { } }
按错误的method请求即可看到效果:
相关推荐
不安全的http方法、CSRF漏洞修复问题
tomcat中间件禁用webdav方法 通过本方法,可以完成所有运行于该tomcat之上的java项目均拦截webdav方法。
禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码 ...
tomcat中server配置文件的结构,以及处理一个http请求的全过程
Apache_Tomcat存在安全限制绕过的漏洞预警 更新版本下载(漏洞修复后版本)
解决方法: ①开启Apache 的mod_rewrite功能: 在Apahce的配置文件httpd.conf中把#LoadModule rewrite_module modules/mod_rewrite.so前的#去掉 在httpd.conf中找到下面这段 <Directory />Options FollowSymLinks ...
2020 年 2 月 4 日,Apache Tomcat 官方发布了新的版本,该版本修复了一 个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告 2020 年 2 月 20 日,CNVD 发布了漏洞公告,对应漏洞编号:CNVD-...
9 月 19 日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取...
Jquery $.ajax 请求部署在 Tomcat报HTTP 406上解决方法
安全加固Tomca漏洞,禁用AJP接口。
解决方式进入tomcat的server配置中进行添加参数配置 <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" URIEncoding="UTF-8" relaxedPathChars="[]{}|\\^" ...
现在主流的WEB服务器一般都支持WebDAV,使用WebDAV的方便性,呵呵,就不用多说了吧,用过VS.NET开发ASP.Net应用的朋友就应该 知道,新建/修改WEB项目,其实就是通过WebDAV+FrontPage扩展做到的,下面我就较详细的...
一直弹出错误提示(拒绝访问),解决方法(将server.xml剪切到桌面进行修改,修改后然后从桌面复制到Tomcat6下面即可。) 3. 备注:以上操作后需要重启Tomcat服务器。 2. Win7 64Bit.测试过程中问题: 1. 将JDK...
tomcat打补丁方法
http://tomcat.apache.org/download-70.cgi http://tomcat.apache.org/download-70.cgi
Tomcat怎样防止跨站请求伪造(CSRF) 1
tomcat解决跨域访问问题,具体配置如下: 1、修改tomcat下的Conf/web.xml文件,在该文件内容中新增以下配置,注意,若该web.xml中存在其它filter,则需要将该filter放在所有filter前面; <filter-name>...
tomcat远程代码执行漏洞验证
解决方案:二、Tomcat启动成功无法访问 一、报错问题解: 1.报错 Using CLASSPATH: /www/apache-tomcat-10.0.0-M3-src/bin/bootstrap.jar:/www/apache-tomcat-10.0.0-M3-src/bin/tomcat-juli.jar touch: cannot ...