java - tomcat(7、8)自定义403页面不跳转,且与禁用HTTP方法冲突。
阿神
阿神 2017-04-18 09:44:27
0
0
512

一个B/S系统进行安全测评,返回结果要求禁用一些不常用的HTTP方法(PUT、DELTETE、OPTIONS等),按照网上的方法,在应用的web.xml的最后添加如下代码:

   /* PUT DELETE HEAD OPTIONS TRACE     BASIC  

上面的几个HTTP方法有效被禁用,但请求会跳转到tomcat的403页面,如下图:

按照测试要求,上图红色部分暴露的tomcat的版本,应该自定义403页面以屏蔽版本,于是在上面的安全配置后添加如下代码:

 404 /sys/404.html   403 /sys/403.html 

结果是。。。。。。。。。。根本没用,并且HTTP的限制也不起作用了。
试了一番,发现404,500等error-code都正常,并且与HTTP限制不冲突。
只要加上403,HTTP方法就限制不了,并且也不会跳转到自定义的403.html。

完整web.xml如下:

   BISMFramework  index.html      -1     springmvc org.springframework.web.servlet.DispatcherServlet  contextConfigLocation classpath:spring-mvc.xml  1   springmvc /    encodingFilter org.springframework.web.filter.CharacterEncodingFilter  encoding utf-8    encodingFilter /     org.springframework.web.context.ContextLoaderListener    contextConfigLocation classpath:applicationContext.xml      /* PUT DELETE HEAD OPTIONS TRACE     BASIC    404 /sys/404.html   403 /sys/403.html  
阿神
阿神

闭关修行中......

全部回复 (0)
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责声明 Sitemap
PHP中文网:公益在线PHP培训,帮助PHP学习者快速成长!