如何禁止tomcat中DELETE、PUT、OPTIONS、TRACE这些方法？

我们的系统用tomcat，客户方要进行安全测评，非说DELETE、PUT、OPTIONS、TRACE这些方法不安全，要在tomcat中禁掉。
我查了下解决方法，无非是在web.xml中添加如下代码：

<security-constraint>  

   <web-resource-collection>  

      <url-pattern>/*</url-pattern>  

      <http-method>PUT</http-method>  

<http-method>DELETE</http-method>  

<http-method>HEAD</http-method>  

<http-method>OPTIONS</http-method>  

<http-method>TRACE</http-method>  

   </web-resource-collection>  

   <auth-constraint>  

   </auth-constraint>  

 </security-constraint> 

我们也这么设置了，然后他们使用curl 来检测：
curl -i -X OPTIONS http://127.0.0.1:8080/404/
这个就是一个不存在的地址来看返回的响应头，结果是这样的：



客户那边坚持说是有这个Allow: GET, HEAD, POST, PUT, DELETE, OPTIONS就不行

请教达人：那么这个PUT,DELETE这些方法倒底是禁了还是没禁？如何能让这个输出的响应头中把这个Allow去掉？