반응형
불필요한 웹 메서드 허용
웹 서비스에서 DELETE, PUT의 기능을 보안상의 이슈로 차단을 요청
Apache - 웹 메서드 제한 방법
httpd.conf 파일
# 모든 URL에 대해서 GET, POST만 허용
<location "/">
<LimitExcept GET POST>
Order deny,allow
Deny from all
</LimitExcept>
</location>
# Trace 불가
TraceEnable OffTomcat - 웹 메서드 제한 방법
web.xml 부분에 차단할 메서드 설정
<servlet>
<!-- PUT, DELETE 차단 -->
<init-param>
<param-name>readonly</param-name>
<param-value>true</param-value>
</init-param>
</servlet>
<security-constraint>
<web-resource-collection>
<web-resource-name>Restricted methods</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>참고
#tomcat #apache #method #delete #put
반응형
'FullStack > 41. WEB.WAS' 카테고리의 다른 글
| Tomcat 8.5 JSP 1.8 문법 오류(Lambda) (0) | 2021.09.16 |
|---|---|
| [Tomcat] logs 경로 변경 (0) | 2021.02.09 |
| [TOMCAT] 톰캣을 이용한 세션 공유 설정 (1) | 2020.11.02 |
| [Tomcat] WAS JDBC를 사용한 오라클 이중화 설정 (0) | 2020.10.14 |
| CVS-2020-1938로 인한 Tomcat 8.5.49 -> 8.5.51 변경 (0) | 2020.03.27 |
