那些遇到过的问题

web.xml中的白名单安全性约束

Mik*_*ike 22 java tomcat web.xml struts2 security-constraint

我正在使用Tomcat作为我的Struts2应用程序.在web.xml如下所示具有一定的条目:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>restricted methods</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>PUT</http-method>
        <http-method>DELETE</http-method>
        <http-method>TRACE</http-method>
    </web-resource-collection>
    <auth-constraint />
</security-constraint>
<security-constraint>
   <web-resource-collection>
       <web-resource-name>no_access</web-resource-name>
       <url-pattern>/jsp/*</url-pattern>
   </web-resource-collection>
   <auth-constraint/>
</security-constraint>
    <security-constraint>
   <web-resource-collection>
       <web-resource-name>no_access</web-resource-name>
       <url-pattern>/myrrunner/*</url-pattern>
   </web-resource-collection>
   <auth-constraint/>
</security-constraint>
Run Code Online (Sandbox Code Playgroud)

如何更改上面列入黑名单的部分只使用白名单部分...例如,我需要将其他方法列入白名单,而不是黑名单PUT,DELTE但我不确定将它们列入白名单的语法以及将它们列入白名单的方法.

对于我上面的web.xml片段,我会很感激,如果有人可以为我提供whitelisitng对应部分xml.

编辑:另外,我如何真正验证解决方案是否有效?

谢谢

pal*_*int 20

我会尝试以下方法:

<security-constraint>
    <web-resource-collection>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <!-- no auth-constraint tag here -->
</security-constraint>

<security-constraint>
    <web-resource-collection>
        <web-resource-name>restricted methods</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
   <auth-constraint/>
</security-constraint>
Run Code Online (Sandbox Code Playgroud)

第一个security-constraint没有auth-constraint,所以没有登录的任何人都可以使用GET和POST方法.第二个限制每个人的其他http方法.(我没试过.)

avi*_*ned 11

Java EE 6的新功能,简化了应用程序的安全配置.您现在可以在web.xml中将白名单与黑名单允许的HTTP方法配对:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Disable unneeded HTTP methods by 403 Forbidden them</web-resource-name>
        <url-pattern>*</url-pattern>
        <http-method-omission>GET</http-method-omission>
        <http-method-omission>HEAD</http-method-omission>
        <http-method-omission>POST</http-method-omission>
    </web-resource-collection>
    <auth-constraint />
</security-constraint>
Run Code Online (Sandbox Code Playgroud)

参考:https://blogs.oracle.com/nithya/entry/new_security_features_in_glassfish

归档时间:

查看次数:

35138 次

最近记录:

6 年,7 月 前
相关归档
如何使用Spring RestTemplate发布表单数据? 124
奇怪的数组返回类型 72
在Java中填充布尔数组 72
拆分具有多个空格的字符串 48
更轻松的DynamoDB本地测试 46
Android,Java:HTTP POST请求 43
http:// localhost:8080 /访问错误:404 - 未找到无法找到文档:/ 10
将一组自定义对象POST到Struts 2操作 6
apache-tomcat-9.0.0.M10:更改 META-INF/context.xml 中的上下文路径不起作用 4
Eclipse Maven Spring:我尝试运行为服务器时出现服务器错误(Tomcat 7) 1
难疑归档
如何在PHP中阻止SQL注入? 2776
检查JavaScript对象中是否存在密钥? 2750
当用户将鼠标悬停在列表项上时,将光标置为手 1871
Python中的switch语句的替换? 1719
表命名困境:奇异与多个名称 1404
Markdown中的评论 1277
如何将键/值对添加到JavaScript对象? 1270
sh和bash之间的区别 1194
创建一个带参数的Bash别名? 1164
如果我已经开始使用rebase,如何将两个提交合并为一个? 1111