SpringBoot解决不安全的HTTP方法漏洞配置

最新推荐文章于 2025-03-13 10:45:35 发布
最新推荐文章于 2025-03-13 10:45:35 发布
阅读量6.9k 收藏 7
点赞数
分类专栏: spring boot web安全漏洞 文章标签: spring boot HTTP方法漏洞 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangjunli/article/details/83987459
版权

1、传统Web项目的解决方案

在不使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于不是http安全的方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对不安全的方法进行拦截。下面,我们重点说下第二种方案,因为这种方案对所有可能存在此安全漏洞的系统都启作用,不用在每个系统中都进行处理。在tomcat的web.xml配置文件中,加如如下的配置文件:

 

[html] view plain copy

  1. <security-constraint>  
  2.             <web-resource-collection>  
  3.                 <url-pattern>/*</url-pattern>  
  4.                 <http-method>HEAD</http-method>  
  5.                 <http-method>PUT</http-method>  
  6.                 <http-method>DELETE</http-method>  
  7.                 <http-method>OPTIONS</http-method>  
  8.                 <http-method>TRACE</http-method>  
  9.                 <http-method>COPY</http-method>  
  10.                 <http-method>SEARCH</http-method>  
  11.                 <http-method>PROPFIND</http-method>  
  12.             </web-resource-collection>  
  13.             <auth-constraint>  
  14.             </auth-constraint>  
  15.     </security-constraint>  


加入这个配置之后,每当我们请求服务器资源的时候,会对请求进行拦截,然后只允许安全的HTTP方法过去。

 

 

2、spring boot的解决方案

方案1:

众所周知,spring boot的容器是内嵌的,是没有web.xml给我们配置的,所有的配置都是在properties文件中进行配置的,所以我们的思路也是在properties文件中增加tomcat的相关配置

 

[java] view plain copy

  1. #解决不安全的HTTP方法漏洞  
  2. server.tomcat.port-header=HEAD,PUT,DELETE,OPTIONS,TRACE,COPY,SEARCH,PROPFIND  


关于tomcat的其他配置,有兴趣的可以自己查阅官网。

 

方案2:

代码的方式增加tomcat的配置,代码如下:

 

[java] view plain copy

  1. @Configuration  
  2. public class TomcatConfig {  
  3.   
  4.     @Bean  
  5.     public EmbeddedServletContainerFactory servletContainer() {  
  6.         TomcatEmbeddedServletContainerFactory tomcat = new TomcatEmbeddedServletContainerFactory() {// 1  
  7.             protected void postProcessContext(Context context) {  
  8.                 SecurityConstraint securityConstraint = new SecurityConstraint();  
  9.                 securityConstraint.setUserConstraint("CONFIDENTIAL");  
  10.                 SecurityCollection collection = new SecurityCollection();  
  11.                 collection.addPattern("/*");  
  12.                 collection.addMethod("HEAD");  
  13.                 collection.addMethod("PUT");  
  14.                 collection.addMethod("DELETE");  
  15.                 collection.addMethod("OPTIONS");  
  16.                 collection.addMethod("TRACE");  
  17.                 collection.addMethod("COPY");  
  18.                 collection.addMethod("SEARCH");  
  19.                 collection.addMethod("PROPFIND");  
  20.                 securityConstraint.addCollection(collection);  
  21.                 context.addConstraint(securityConstraint);  
  22.             }  
  23.         };  
  24.         return tomcat;  
  25.     }  
  26. }  


这两种方式其实是等同的。个人认为第一种方式更简单灵活。

spring boot使用内嵌的tomcat解决安全HTTP方法安全漏洞
牛奋lch
08-04 1万+
最近项目开发完毕,在进行安全测试的时候,爆出了一个中级安全漏洞--安全HTTP方法,如果对这个安全漏洞明白的地方,可以自行问度娘。 1、传统Web项目的解决方案 在使用spring boot的情况下,有两种解决方案1、在过滤器中进行拦截,对于http安全方法直接给前端返回错误信息;2、在tomcat的web.xml配置,对安全方法进行拦截。下面,我们重点说下第二种方案,因为
Spring Boot 项目 90% 存在这 15 个致命漏洞,你的代码在裸奔吗?
最新发布
风象南的专栏
03-23 1415
项目中的安全问题容忽视,开发者需要时刻保持警惕,采取积极的措施来保护应用的安全
springboot解决安全HTTP请求方式安全漏洞
Think_and_work的博客
07-05 3000
springboot解决安全HTTP请求方式安全漏洞
Springboot -- 网络安全漏洞处理
zhangdm的博客
02-26 9402
文章目录安全HTTP 方法以及 Nginx 屏蔽版本号显示说明检测方式安全HTTP 方法 处理代码屏蔽 Nginx 版本号显示点击劫持漏洞说明什么是ClickJacking检测方式处理代码XSS跨站脚本攻击说明检测方式处理代码 (参考网上的代码,主要是对传入的信息进行敏感字符的过滤) 安全HTTP 方法以及 Nginx 屏蔽版本号显示 说明 Web服务器在默认情况下开放了一些必要的HTTP方法(如OPTIONS,DELETE、PUT、TRACE、MOVE、COPY),增加了受攻击的几率,
SpringBoot漏洞!Apache Tomcat有信息泄露风险(附解决方案)
Carlos_ForYou的博客
08-15 2868
解决Apache Tomcat信息泄露漏洞
安全漏洞SpringBoot + SpringSecurity CORS跨域资源共享配置
weixin_42925623的博客
09-05 2611
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
禁用Springboot以jar方式使用内嵌tomcat的安全http方法
chemyoo的博客
02-01 559
禁用Springboot以jar方式使用内嵌tomcat的安全http方法
springboot项目解决www的trace漏洞
碎片令人怀念的的博客
08-25 5676
最近公司一直对安全方面抓的较紧,今天需要升级fastjson的漏洞,明天升级组件中引用的jackson漏洞,还有跨域等,这里针对项目中的一个www攻击trace漏洞解决进行记录下: 1、首先应用部署到linux环境后,检查trace漏洞用如下命令: curl -i -s -k -X $'TRACE' \ -H $'Host: 10.11.10.11:9801' -H $'Pragma: no-cache' -H $'Cache-Control: no-cache' -H $'DNT: 1' .
springboot_host
01-11
"springboot_host"这个主题主要涉及的是Spring Boot应用如何处理和防止与主机(host)相关的安全漏洞。 主机漏洞通常涉及到恶意用户通过注入恶意的主机名来攻击系统,例如DNS欺骗或中间人攻击。在Spring Boot应用中...
SpringBoot解决Apache Tomcat输入验证错误漏洞
培根芝士的专栏
07-15 3229
ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)CVE编号漏洞描述Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证正确,会导致拒绝服务。修复方案目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版;
启用了安全http方法漏洞
01-09
在web.xml文件中配置下面一段内容 /* PUT DELETE HEAD OPTIONS TRACE BASIC
spring boot项目和vue一起放在tomcat部署
11-13
spring boot项目和vue一起放在tomcat部署,spring boot项目和vue一起放在tomcat部署
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 4906
内嵌tomcat升级版本
Springboot内置Apache Tomcat 安全漏洞(CVE-2024-50379)
C_0010的博客
01-13 919
这样就可以修改springboot工程中内置tomcat的版本号
Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞
拉丁解牛技术专栏
08-15 1301
修改Springboot Tomcat内置版本,修复Tomcat 漏洞,网络安全问题
Springboot如何禁止安全Http方法(tomcat可用)
qq_43248658的博客
05-24 8068
@Bean public EmbeddedServletContainerFactory servletContainer() { TomcatEmbeddedServletContainerFactory tomcatServletContainerFactory = new TomcatEmbed...
Spring Boot Tomcat 漏洞修复
Gjw_java的博客
03-13 2127
Tomcat 是一个开源的、轻量级的 Web 应用服务器 和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发,是目前最流行的 Java Web 服务器之一。
spring boot 2.0之安全
weixin_34377065的博客
01-04 168
简介 如果在classpath上设置了spring 安全,默认的话其web 也是安全的。springboot依赖于spring安全声明策略决定是使用httpBasic或者formLogin,添加web应用的安全等级方法,可以使用@EnableGlobalMethodSecurity添加你想要的配置。 默认的认证管理是拥有一个单独的用户。如下所示...
springboot如何解决swagger ui安全漏洞问题
12-04
Spring Boot 中集成 Swagger UI 遇到的安全漏洞主要是由于 Swagger 提供的 UI 没有默认启用安全保护机制,这可能导致未经授权的访问敏感信息。要解决这个问题,你可以采取以下几个步骤: 1. 添加 Swagger 和 Springfox依赖:首先,在你的 Maven 或 Gradle 项目中添加 Swagger 和 springfox-swagger2 的依赖。 **Maven**: ```xml <dependency> <groupId>io.springfox</groupId> <artifactId>springfox-boot-starter</artifactId> <version>3.x.y</version> <!-- 更新到最新版本 --> </dependency> ``` **Gradle**: ```groovy implementation 'io.springfox:springfox-boot-starter:3.x.y' // 更新到最新版本 ``` 2. 安全配置 Swagger:在 `application.properties` 或 `application.yml` 文件中,启用Swagger的 JSON 文档支持,并设置基本认证: ```yaml swagger: enabled: true info: version: "1.0" title: "API文档" path: /api-docs base-package: com.example.demo.controller security: basic: enabled: true user-info-uri: /users/me ``` 这里设置了基本认证,你可以替换为你项目的实际用户名密码路径。 3. 创建用户验证服务:如果需要更复杂的验证机制,可以创建一个自定义的 SecurityConfiguration 类,覆盖默认的 BasicAuthenticationFilter,实现 JWT、OAuth2 等其他认证方式。 4. 使用全局拦截器(Global Interceptor):如果你希望所有 API 调用都需要验证,可以在 WebMvcConfigurerAdapter 或其对应的注解处理器中添加全局过滤器。 5. 配置 Swagger UI 的安全:将 Swagger UI 的资源映射到安全控制下的路径,例如通过`http://localhost:8080/swagger-ui.html?configUrl=/v2/api-docs` 来指向已授权的 API 文档。 ```java @Configuration public class SwaggerConfig implements WebMvcConfigurer { @Override public void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("/swagger-ui.html") .addResourceLocations("classpath:/META-INF/resources/") .setCachePeriod(3600); registry.addResourceHandler("/webjars/**") .addResourceLocations("classpath:/META-INF/resources/webjars/"); } } ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值