Tomcat禁用OPTIONS协议

原文：https://blog.csdn.net/A_Runner/article/details/80618023
修复Centos7一项漏洞:

启用了OPTIONS方法:攻击者可以发送OPTIONS方法，从系统的响应中获得系统已启用的HTTP方法列表

解决方案: 你可以在项目的web.xml或者tomcat服务器的web.xml上配置,不同在于,配置项目只是对本项目起作用,配置在tomcat上,是对tomcat下的所有项目均起作用; 打开tomcat–>conf–>web.xml 文件:

这里写图片描述 把图中红框中的部分替换为:

然后在下面追加:

        
            /*
            PUT
            DELETE
            HEAD
            OPTIONS
            TRACE
        
        
        
    
    
        BASIC
    

<http-method>元素里面的的协议即是要被禁止的协议类型; 看效果: 用命令测:

crul -v -X OPTIONS http://localhost:8080/login.jsp

在没有禁止前,测试结果如下图:

很明显可以看到把页面的内容全部直接返回了,这是很危险的; 替换了Tomcat下的web.xml之后再测试,结果如下:

效果一目了然; 接下来,简单解释一下上面各参数: <security-constraint> 的子元素 <http-method> 是可选的，如果没有 <http-method> 元素，这表示将禁止所有 HTTP 方法访问相应的资源。 子元素 <auth-constraint> 需要和 <login-config> 相配合使用，但可以被单独使用。如果没有 <auth-constraint> 子元素，这表明任何身份的用户都可以访问相应的资源。也就是说，如果 <security-constraint> 中没有 <auth-constraint> 子元素的话，配置实际上是不起中用的。如果加入了 <auth-constraint> 子元素，但是其内容为空，这表示所有身份的用户都被禁止访问相应的资源。 对于<login-config>:
当访问服务器中受保护的资源时，容器管理的验证方法可以控制确认用户身份的方式。Tomcat支持四种容器管理的安全防护，它们是：
1.BASIC(基本验证)：通过HTTP验证，需要提供base64编码文本的用户口令
2.DIGEST(摘要验证)：通过HTTP验证，需要提供摘要编码字符串的用户口令
3.FORM(表单验证)：在网页的表单上要求提供密码
4.CLIENT-CERT(客户端证书验证)：以客户端证书来确认用户的身份