web.xml中的白名单安全性约束
我正在使用Tomcat作为我的Struts2应用程序。 web.xml
有一些条目,如下所示:
restricted methods /* PUT DELETE TRACE no_access /jsp/* no_access /myrrunner/*
如何更改以上列入黑名单的部分仅使用白名单部分…例如,我不需要将其他方法列入白名单,而是将其列入白名单,但我不确定将白名单列入白名单的语法以及将白名单列入白名单的方法。
对于我上面的web.xml
片段,如果有人可以为xml
以上提供whitelisitng计数器部分,我将不胜感激。
编辑:另外,我如何真正validation解决方案是否有效?
谢谢
我会尝试以下方法:
/* GET POST restricted methods /*
第一个security-constraint
没有任何auth-constraint
,因此没有登录的任何人都可以使用GET和POST方法。 第二个限制每个人的其他http方法。 (我没试过。)
Java EE 6的新function,简化了应用程序的安全配置。 您现在可以在web.xml中将白名单与黑名单允许的HTTP方法配对:
Disable unneeded HTTP methods by 403 Forbidden them * GET HEAD POST
参考: https : //blogs.oracle.com/nithya/entry/new_security_features_in_glassfish
稍微调整一下接受的答案(将第二个security-constraint
的url-pattern
设置为映射到默认的servlet "/"
)适用于JBoss和Weblogic,但不适用于Websphere:
Allowed methods /* GET POST Restricted methods /
使用上面的安全约束配置,我不确定为什么Websphere允许所有HTTP方法,而JBoss和Weblogic只允许GET
和POST
。