tomcat怎么禁用不需要的http方法？

Atest001 2013-01-22 11:23:05

利用ibm appscan扫描系统时候，发现漏洞，提示说要禁用webdav或者禁用不需要的http方法。
在网上找了资料，按照下面这个配置后，还是有问题。
http://serisboy.iteye.com/blog/1320177
我还把post、connect和get方法加入了，加入后，系统根本无法访问，提示说咩有访问权限，当然不行。

请问还有其他方法吗？

...全文

1995 6 打赏收藏转发到动态举报

写回复

用AI写文章

6 条回复

切换为时间正序

请发表友善的回复…

发表回复

busilc 2014-09-16

打赏
举报

我是tomcat7，按照上面的步骤走一遍还是不行啊，请教楼主

变色IT 2014-08-01

打赏
举报

楼主最后如何解决问题的,求回复,邮箱是498769715@qq.com

miaohongz 2014-01-17

打赏
举报

我试了上面的方法也是不行，楼主的问题如何解决的？？？希望能够恢复一下，我的邮箱965358150@qq.com

yang171509047 2013-06-19

打赏
举报

今天我试了上面的方法，怎么还是不行，楼主的问题如何解决的？？？？希望能够回复下，我的邮箱yangjiepeng@dfzy.com.cn

红烧清蒸 2013-03-14

打赏
举报

我是从iteye找的方法，没有配tomcat安装目录下config文件夹里的web.xml文件。我也是在网上找了半天，好多都是通过IIS禁用，硬是想不通怎么IIS可以禁用Tomact的。

Atest001 2013-02-05

打赏
举报

网上找了很多资料，找到了解决办法。现在有时间贴上解决方法，供他人参考。在tomcat安装目录下config文件夹有web.xml文件，打开找到default servlet。加入如下参数：


<init-param> 
	<param-name>readonly</param-name> 
        <param-value>true</param-value> 
</init-param>

然后在当前项目的web.xml文件中加入如下代码：


     <web-resource-collection>
          <web-resource-name>Your_Web_Project_Name</web-resource-name>
          <url-pattern>/*</url-pattern>
          <http-method>DELETE</http-method>
          <http-method>PUT</http-method>
          <http-method>HEAD</http-method>
          <http-method>TRACE</http-method>
          <http-method>OPTIONS</http-method>
     </web-resource-collection>

     <auth-constraint>
        <role-name></role-name>
     </auth-constraint>

     <user-data-constraint>
        <transport-guarantee>NONE</transport-guarantee>
     </user-data-constraint>

 </security-constraint>
	
   <login-config>
       <auth-method>BASIC</auth-method>
   </login-config>

   <security-role>
       <role-name></role-name> <!--此处角色设置为空 仍可以禁用上面设定的http方法-->
   </security-role>

按照上面配置后，就禁用了tomcat6的一些http method。