Sicherheitsbeschränkung für weiße Listen in web.xml
Ich bin mit Tomcat für mein Struts2 Anwendung. Die web.xml
hat bestimmte Einträge wie unten dargestellt:
<security-constraint>
<web-resource-collection>
<web-resource-name>restricted methods</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>no_access</web-resource-name>
<url-pattern>/jsp/*</url-pattern>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<security-constraint>
<web-resource-collection>
<web-resource-name>no_access</web-resource-name>
<url-pattern>/myrrunner/*</url-pattern>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
Wie kann ich das ändern oben in der Blacklist Teile zu verwenden, nur whitelisting Teil... Zum Beispiel, anstatt blacklisting PUT
DELTE
http-Methoden, die ich brauche, um whitelist-andere Methoden, aber ich bin nicht sicher, ob die syntax des whitelisting & welche Methoden zur whitelist.
Für meine oben web.xml
snippet, ich werde zu schätzen, wenn jemand mir whitelisitng Zähler Teil für oben xml
.
EDIT: ausserdem, wie würde ich wirklich überprüfen, ob die Lösung funktioniert oder nicht?
Dank
InformationsquelleAutor der Frage Mike | 2011-11-09
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ich würde Folgendes versuchen:
Den ersten
security-constraint
keineauth-constraint
so dass die Methoden GET und POST sind für jeden zugänglich, ohne login. Die zweite schränkt andere http-Methoden für alle. (Ich habe es nicht versucht.)InformationsquelleAutor der Antwort palacsint
Neuen feature von Java EE 6-das vereinfacht die security-Konfiguration von Anwendungen. Sie können jetzt whitelist blacklist versus erlaubte HTTP-Methoden in Ihrer web.xml:
Referenz: https://blogs.oracle.com/nithya/entry/new_security_features_in_glassfish
InformationsquelleAutor der Antwort aviundefined
Einem leichten zwicken, um die akzeptierten Antworten (
url-pattern
im zweitensecurity-constraint
auf Karte, um die Standard-servlet"/"
) arbeitet für JBoss und Weblogic, aber nicht für Websphere:Mit den Sicherheits-Einschränkungen-Konfiguration oben, ich bin mir nicht sicher, warum, Websphere ermöglicht alle HTTP-Methoden, während JBoss und Weblogic erlaubt nur
GET
undPOST
.InformationsquelleAutor der Antwort mendozal