一个B/S系统进行安全测评，返回结果要求禁用一些不常用的HTTP方法（PUT、DELTETE、OPTIONS等），按照网上的方法，在应用的web.xml的最后添加如下代码：

   /* PUT DELETE HEAD OPTIONS TRACE     BASIC  

上面的几个HTTP方法有效被禁用，但请求会跳转到tomcat的403页面，如下图：

按照测试要求，上图红色部分暴露的tomcat的版本，应该自定义403页面以屏蔽版本，于是在上面的安全配置后添加如下代码：

 404 /sys/404.html   403 /sys/403.html 

结果是。。。。。。。。。。根本没用，并且HTTP的限制也不起作用了。
试了一番，发现404，500等error-code都正常，并且与HTTP限制不冲突。
只要加上403，HTTP方法就限制不了，并且也不会跳转到自定义的403.html。

完整web.xml如下：

   BISMFramework  index.html      -1     springmvc org.springframework.web.servlet.DispatcherServlet  contextConfigLocation classpath:spring-mvc.xml  1   springmvc /    encodingFilter org.springframework.web.filter.CharacterEncodingFilter  encoding utf-8    encodingFilter /     org.springframework.web.context.ContextLoaderListener    contextConfigLocation classpath:applicationContext.xml      /* PUT DELETE HEAD OPTIONS TRACE     BASIC    404 /sys/404.html   403 /sys/403.html