web.xml中的白名单安全性约束

我正在使用Tomcat作为我的Struts2应用程序。 web.xml有一些条目,如下所示: 

   restricted methods /* PUT DELETE TRACE      no_access /jsp/*      no_access /myrrunner/*

如何更改以上列入黑名单的部分仅使用白名单部分…例如,我不需要将其他方法列入白名单,而是将其列入白名单,但我不确定将白名单列入白名单的语法以及将白名单列入白名单的方法。

对于我上面的web.xml片段,如果有人可以为xml以上提供whitelisitng计数器部分,我将不胜感激。

编辑:另外,我如何真正validation解决方案是否有效?

谢谢

我会尝试以下方法: 

   /* GET POST      restricted methods /*

第一个security-constraint没有任何auth-constraint ,因此没有登录的任何人都可以使用GET和POST方法。 第二个限制每个人的其他http方法。 (我没试过。)

Java EE 6的新function,简化了应用程序的安全配置。 您现在可以在web.xml中将白名单与黑名单允许的HTTP方法配对: 

   Disable unneeded HTTP methods by 403 Forbidden them * GET HEAD POST

参考: https : //blogs.oracle.com/nithya/entry/new_security_features_in_glassfish

稍微调整一下接受的答案(将第二个security-constrainturl-pattern设置为映射到默认的servlet "/" )适用于JBoss和Weblogic,但不适用于Websphere: 

   Allowed methods /* GET POST      Restricted methods /

使用上面的安全约束配置,我不确定为什么Websphere允许所有HTTP方法,而JBoss和Weblogic只允许GETPOST

Interesting Posts

如何获取新文档的主题向量并与Mallet中预定义的主题模型进行比较?

Java自定义记录器:记录标准或/和最佳实践

用于Java EE环境的的注释等效项

摇摆计时器不停止

不通过执行Java Applikation在ARM上加载JDBC库

如何让JFrame真正全屏?

Hibernate:懒得初始化一个角色集合,没有会话或会话被关闭

导致GC流失一致的技术

如何使用JOOQ在PostgreSQL中插入带有JSON列的可更新记录?

无法使用java制作文件夹来压缩文件?