一个B/S系统进行安全测评,返回结果要求禁用一些不常用的HTTP方法(PUT、DELTETE、OPTIONS等),按照网上的方法,在应用的web.xml的最后添加如下代码:
/* PUT DELETE HEAD OPTIONS TRACE BASIC
上面的几个HTTP方法有效被禁用,但请求会跳转到tomcat的403页面,如下图:
按照测试要求,上图红色部分暴露的tomcat的版本,应该自定义403页面以屏蔽版本,于是在上面的安全配置后添加如下代码:
404 /sys/404.html 403 /sys/403.html
结果是。。。。。。。。。。根本没用,并且HTTP的限制也不起作用了。
试了一番,发现404,500等error-code都正常,并且与HTTP限制不冲突。
只要加上403,HTTP方法就限制不了,并且也不会跳转到自定义的403.html。
完整web.xml如下:
http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
version="3.1">
BISMFramework
index.html
-1
springmvc
org.springframework.web.servlet.DispatcherServlet
contextConfigLocation
classpath:spring-mvc.xml
1
springmvc
/
encodingFilter
org.springframework.web.filter.CharacterEncodingFilter
encoding
utf-8
encodingFilter
/
org.springframework.web.context.ContextLoaderListener
contextConfigLocation
classpath:applicationContext.xml
/*
PUT
DELETE
HEAD
OPTIONS
TRACE
BASIC
404
/sys/404.html
403
/sys/403.html