http请求options,DELETE,PUT,HEAD关闭方法

来源:V型知识库 | 2016年12月15日 08:35 | 2502次浏览 | 分类: 互联网&程序员 作者原创 版权保护

最近对项目进行安全评测,评测报告中出现不安全的http请求模式DELETE、OPTIONS、TRACE、HEAD等协议访问应用程序,由于项目是javaweb项目,所以禁止上述协议模式以此为准。

在网上搜了一下,并亲自测试成功。

WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。

      HTTP/1.1协议中共定义了八种方法(有时也叫“动作”)来表明Request-URI指定的资源的不同操作方式:

  OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。 

  HEAD 向服务器索要与GET请求相一致的响应,只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下,就可以获取包含在响应消息头中的元信息。 

  GET 向特定的资源发出请求。注意:GET方法不应当被用于产生“副作用”的操作中,例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。 

  POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 

  PUT 向指定资源位置上传其最新内容。 

  DELETE 请求服务器删除Request-URI所标识的资源。 

  TRACE 回显服务器收到的请求,主要用于测试或诊断。 

  CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。 

  方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候,服务器应当返回状态码405(Method Not Allowed);当服务器不认识或者不支持对应的请求方法的时候,应当返回状态码501(Not Implemented)。 

  HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。

     http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式

解决方法

第一步:修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"
    version="2.4">

第二步:在应用程序的web.xml中添加如下的代码即可

     <security-constraint>
      <web-resource-collection>
         <url-pattern>/*</url-pattern>
         <http-method>PUT</http-method>
		 <http-method>DELETE</http-method>
		 <http-method>HEAD</http-method>
		 <http-method>OPTIONS</http-method>
		 <http-method>TRACE</http-method>
      </web-resource-collection>
      <auth-constraint>
      </auth-constraint>
    </security-constraint>
    <login-config>
      <auth-method>BASIC</auth-method>
    </login-config>

重新部署程序,重启tomcat即可完成

如果用户要验证既可以将POST和GET也添加在其中,重新部署并启动tomcat即可看到效果

以上的代码添加到某一个应用中,也可以添加到tomcat的web.xml中,区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中,则对tomcat下所有的应用有效。


测试关闭上述http模式是否生效

从客户端通过 Ajax XMLHTTPRequest 发起 DELETE/PUT 请求,利用AJAX的方式调用DELETE,

<script type="text/javascript">  
function getXMLHTTPRequest(){  
    if (XMLHttpRequest)    {  
        return new XMLHttpRequest();  
    } else {  
        try{  
            return new ActiveXObject('Msxml2.XMLHTTP');  
        }catch(e){  
            return new ActiveXObject('Microsoft.XMLHTTP');  
        }  
    }  
}  
var req = getXMLHTTPRequest();  
req.open('DELETE','http://localhost:8080/yours_web/test.html',false);  
req.send(null);  
document.write(req.responseText);  
  
</script>

把上述测试代码放到要测试的界面中。

重启项目,然后打开狐火浏览器,按F12启动火狐浏览器的debug模式

禁止前的效果:

禁止后的效果:

如上图所示请求地址前面出现了x号,并且返回403错误