Deaktivieren der PUT-SPUR LÖSCHEN-Anforderung Apache Tomcat 6.0

Muss ich deaktivieren, PUT, DELETE & TRACE von HTTP-requests auf meiner Application Server, Apache Tomcat 6.0.

Alle anderen Quellen, habe ich danach gesucht, bis jetzt gerichtet haben, mich zu den limit-parameter in httpd.conf, Daher würde ich es vor der hand, dass ich bin nicht mit Apache-Web-Server, und die Anfragen werden direkt bearbeitet von Tomcat, und so gibt es keine httpd.conf im Bild.

Bitte vorschlagen, wie soll ich es tun auf Tomcat?

InformationsquelleAutor M.N | 2008-11-26
  1. 19

    In Ihrem WEBINF, hinzufügen, Sie können hinzufügen, ein security-constraint:

    <security-constraint>
     <web-resource-collection>
          <web-resource-name>Forbidden</web-resource-name>
          <url-pattern>/blah/*</url-pattern>
          <http-method>PUT</http-method>
          <http-method>DELETE</http-method>
          <http-method>TRACE</http-method>
     </web-resource-collection>
     <auth-constraint>
          <role-name>empty_role</role-name>
     </auth-constraint>
</security-constraint>

    Alternativ kann man diese zwei Dinge:

    In server.xml Bearbeiten Sie die <connector> element, ein Attribut hinzuzufügen: allowTrace="false". Bearbeiten Sie dann die DefaultServlet: $CATALINA_HOME/conf/web.xml

    <servlet>
    <servlet-name>default</servlet-name>
    <servlet-class>
        org.apache.catalina.servlets.DefaultServlet
    </servlet-class>
    <!-- blah blah blah -->
    <init-param>
        <param-name>readonly</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>
    • Dank James, Was soll das <url-pattern>, im Fall ich bin hinzufügen, um server-web.inf anstelle von app-web.inf? (WEBROOT\conf\web.xml)
    • Platzhalter wie '/*' sollte funktionieren, denke ich.
    InformationsquelleAutor James Schek
  2. 0

    Die Antwort liegt in der servlet-Spezifikation. Im Blick auf die für das servlet-API: http://java.sun.com/products/servlet/2.5/docs/servlet-2_5-mr2/javax/servlet/http/HttpServlet.html du wirst sehen, dass es verschiedene Methoden, den Umgang mit verschiedenen Arten von HTTP-Anforderungen. Außerdem gibt es ein tolles feature namens Filter, können verwendet werden, um wickeln Sie einige code, um servlets und Filter.

    Also die Lösungen sind:

    • Ändern Sie die servlet nur unterstützen, tun und bekommen; oder
    • Einen filter erstellen, der klar die anderen Arten von Anforderungen.
    • Ändern des servlets ist eine heikle Angelegenheit am besten. Kann es nicht möglich sein zu ändern, einen Rahmen, überschreiben die doPut, doDelete, etc. Plus, es erfordert jedes servlet geändert werden, die ist fehleranfälliger Prozess. Der filter ist wohl der bessere Ansatz und bietet die größte Kontrolle.
    InformationsquelleAutor Loki
Schreibe einen Kommentar