tomcat禁用不安全的HTTP方法

一般情况下在项目开发完成之后上线之前一般都要经过安全组扫描，上周在处理一个微服务迁移过程中安全组提出了两个安全方面的问题，即微服务的api使用了不安全的http方法（DELETE和TRACE），事实上该微服务的http方法只使用了GET和POST，所以根据安全组的建议需要禁用不安全的HTTP方法。
我准备通过一个简单的demo来演示如何进行配置，首先创建一个spring boot项目，根据需要选择需要的依赖，因为主要是做HTTP方法的配置，所以我只选择了web。

一、使用内置tomcat

使用spring boot进行开发的时候一般都会使用内置的tomcat，这样的话对tomcat的配置一般会通过application.properties或者配置类来进行设置。下面通过一个简单的demo来看下如何禁用相关的HTTP方法。
首先创建一个spring boot的项目，定义一个controller，代码如下：

@RestController
@RequestMapping("/rest")
public class HttpController {

    @Value("${spring.application.name:application}")
    private String applicationName;

    @RequestMapping(value = "/other",method = {RequestMethod.HEAD,RequestMethod.OPTIONS,RequestMethod.TRACE,RequestMethod.PATCH})
    public String head (HttpServletRequest request) {
        log.info(">>>> request method={} <<<<",request.getMethod());
        return request.getMethod() + " method from " + applicationName;
    }

    @PutMapping("/put")
    public String put (HttpServletRequest request) {
        return request.getMethod() + " method " + applicationName;
    }

    @PostMapping("/post")
    public String post (HttpServletRequest request) {
        return request.getMethod() + " method from " + applicationName;
    }

    @GetMapping("/get")
    public String get (HttpServletRequest request) {
        return request.getMethod() + " method from " + applicationName;
    }

    @DeleteMapping("/delete")
    public String delete (HttpServletRequest request) {
        return request.getMethod() + " method from " + applicationName;
    }
}

然后通过对以上接口调用基本上的都会成功，这里还是推荐使用idea自带的rest-api.http。这里唯一需要注意的是TRACE方法，如果直接调用会显示下面的信息：

TRACE http://localhost:8080/rest/other

HTTP/1.1 405 
Allow: HEAD, DELETE, POST, GET, OPTIONS, PUT
Content-Type: message/http
Content-Length: 221
Date: Sat, 14 Sep 2019 06:05:06 GMT

TRACE /error HTTP/1.1
accept: */*
cache-control: no-cache
content-type: application/json
host: localhost:8080
connection: Keep-Alive
user-agent: Apache-HttpClient/4.5.9 (Java/11.0.3)
accept-encoding: gzip,deflate


Response code: 405; Time: 14ms; Content length: 221 bytes

可见允许访问的的方法中是没有TRACE 方法的，因此我们需要首先开启TRACE方法，对于spring boot内置的tomcat，一般可以考虑通过application.properties进行配置，但是如果没有提供该项配置的话就需要通过配置类来完成。下面通过一个配置类允许TRACE方法访问，这个配置类中通过代码创建TomcatServletWebServerFactory的bean，代码如下：

@Slf4j
@Configuration
public class HttpMethodConfig {

    @Bean
    public TomcatServletWebServerFactory tomcatServletWebServerFactory() {
        log.info(">>>> custom tomcat server factory start <<<<");
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        // 开启TRACE方法
        factory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        return factory;
    }
}

然后再次使用TRACE方法访问，结果如下：

TRACE http://localhost:8080/rest/other

HTTP/1.1 200 
Content-Type: message/http
Content-Length: 226
Date: Sat, 14 Sep 2019 06:17:37 GMT

TRACE /rest/other HTTP/1.1
accept: */*
cache-control: no-cache
content-type: application/json
host: localhost:8080
connection: Keep-Alive
user-agent: Apache-HttpClient/4.5.9 (Java/11.0.3)
accept-encoding: gzip,deflate


Response code: 200; Time: 71ms; Content length: 226 bytes

状态码为200说明请求成功了，而且根据日志输出也可以判定TRACE方法可以访问了。这时候使用GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS, TRACE 中的任何一个方法我们的接口都是可以正常访问的。
等等....不是说是要禁用不安全的HTTP方法吗？？？

二、应用禁用HTTP方法

之所以先配置开启TRACE方法也是因为当时在配置过程中遇到了一个问题（后面会说到），下面通过配置禁用除GET、POST之外的其他HTTP方法。如果对tomcat比较熟悉的话应该知道可以通过修改tomcat的web.xml配置文件达到禁用相关HTTP方法，但是这里我们是内置的tomcat所以只能通过配置类来修改，但是原理都是一样的，那就是配置security-constraint来实现。
接下来修改下自定义配置类，代码如下：

@Slf4j
@Configuration
public class HttpMethodConfig {

    @Bean
    public TomcatServletWebServerFactory tomcatServletWebServerFactory() {
        log.info(">>>> custom tomcat server factory start <<<<");
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        // 开启TRACE
        factory.addConnectorCustomizers(connector -> {
            connector.setAllowTrace(true);
        });
        factory.addContextCustomizers(context -> {
            SecurityConstraint securityConstraint = new SecurityConstraint();
            securityConstraint.setUserConstraint("CONFIDENTIAL");

            SecurityCollection securityCollection = new SecurityCollection();
            securityCollection.addPattern("/*");
            securityCollection.addMethod("PUT");
            securityCollection.addMethod("HEAD");
            securityCollection.addMethod("DELETE");
            securityCollection.addMethod("OPTIONS");
            securityCollection.addMethod("TRACE");
            securityCollection.addMethod("PATCH");

            securityConstraint.addCollection(securityCollection);
            context.addConstraint(securityConstraint);
        });

        return factory;
    }
}

上面的代码中securityConstraint.setUserConstraint("CONFIDENTIAL")，userConstraint的值只能是CONFIDENTIAL、NONE、INTEGRAL其中之一，至于原因我也不知道....感兴趣的话可以google一下。其他的和使用web.xml基本一样，新建安全集添加需要禁止的请求方法和访问的路径，然后将其添加到新建的安全约束即可。完成之后再调用接口进行测试会发现返回的结果类似下面：

TRACE http://localhost:8080/rest/other

HTTP/1.1 302 
Cache-Control: private
Expires: Thu, 01 Jan 1970 00:00:00 GMT
Location: https://localhost/rest/other
Content-Length: 0
Date: Sat, 14 Sep 2019 06:54:39 GMT

<Response body is empty>

Response code: 302; Time: 16ms; Content length: 0 bytes

当然因为我并没有安全扫描的工具，所以只能根据调用接口来判断，这种方法其实并不严谨。下面解释一下为什么需要先启用TRACE方法，难道不是直接通过在安全约束里面添加TRACE就可以了吗？事实并不是这样的。在工作中我发现如果不开启TRACE，而是直接在安全约束禁用TRACE方法并不会生效，当时我也很奇怪，因为我当时已经禁用了TRACE方法，但是之后安全组的的安全扫描结果依然显示没用禁用TRACE方法。后来也是网上查了一些资料才知道必须先允许TRACE访问才能禁用掉该方法。

三、使用web.xml

如果使用的是传统的方式开发，即使用单独的tomcat容器，则可以在应用的web.xml或者tomcat自己的web.xml中添加以下配置：

    <!-- 禁用不安全的http方法 -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>DENY METHOD</web-resource-name>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>OPTIONS</http-method>
            <http-method>DELETE</http-method>
            <http-method>PATCH</http-method>
            <http-method>TRACE</http-method>
        </web-resource-collection>
        <auth-constraint></auth-constraint>
    </security-constraint>

另外需要修改下server.xml，即允许TRACE访问：

    <Connector port="8080" protocol="HTTP/1.1" allowTrace="true"  connectionTimeout="20000"
               redirectPort="8443" />

最后：自己在微信开了一个个人号：超超学堂，都是自己之前写过的一些文章，另外关注还有Java免费自学资料，欢迎大家关注。

二维码.jpg

最后编辑于：2020.06.14 15:13:39

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 219,869评论 6赞 508
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 93,716评论 3赞 396
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 166,223评论 0赞 357
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 59,047评论 1赞 295
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 68,089评论 6赞 395
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,839评论 1赞 308
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,516评论 3赞 420
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,410评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,920评论 1赞 319
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 38,052评论 3赞 340
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 40,179评论 1赞 352
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,868评论 5赞 346
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,522评论 3赞 331
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 32,070评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 33,186评论 1赞 272
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,487评论 3赞 375
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 45,162评论 2赞 356

tomcat禁用不安全的HTTP方法

一、使用内置tomcat

二、应用禁用HTTP方法

三、使用web.xml

推荐阅读更多精彩内容