Tomcat 禁用不安全的 HTTP 请求模式及测试

WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法，使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还可以支持文件的版本控制。

HTTP/1.1协议中共定义了八种方法（有时也叫“动作”）来表明Request-URI指定的资源的不同操作方式：

　　OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也可以利用向Web服务器发送'*'的请求来测试服务器的功能性。　

　　HEAD 向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法可以在不必传输整个响应内容的情况下，就可以获取包含在响应消息头中的元信息。　

　　GET 向特定的资源发出请求。注意：GET方法不应当被用于产生“副作用”的操作中，例如在web app.中。其中一个原因是GET可能会被网络蜘蛛等随意访问。　

　　POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。　

　　PUT 向指定资源位置上传其最新内容。　

　　DELETE 请求服务器删除Request-URI所标识的资源。　

　　TRACE 回显服务器收到的请求，主要用于测试或诊断。　

　　CONNECT HTTP/1.1协议中预留给能够将连接改为管道方式的代理服务器。　

　　方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候，服务器应当返回状态码405（Method Not Allowed）；当服务器不认识或者不支持对应的请求方法的时候，应当返回状态码501（Not Implemented）。　

　　HTTP服务器至少应该实现GET和HEAD方法，其他方法都是可选的。当然，所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外，除了上述方法，特定的HTTP服务器还能够扩展自定义的方法。

　　

　　http 的访问中，一般常用的两个方法是：GET和POST。其实主要是针对 DELETE \ PUT \ TRACE 等方法的禁用。

　　1、禁用程序，tomcat有多个程序时，在程序的web.xml中添加：

    <!-- 禁用不安全方法 -->
    <security-constraint>
        <web-resource-collection>
            <url-pattern>/*</url-pattern>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>TRACE</http-method>
            <http-method>PATCH</http-method>
            <http-method>DELETE</http-method>
            <http-method>OPTIONS</http-method>
        </web-resource-collection>
        <auth-constraint>
        </auth-constraint>
    </security-constraint>
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>

　　　　

　　2、Tomcat 禁用，在 Tomcat 只有一个程序、或者多程序同时需要禁用时：

　　　　在 tomcat/conf/web.xml 添加如上代码。

　　修改完成重启 Tomcat 即可。

测试：

　　下载 ApiPost 测试工具：https://www.apipost.cn/

　　

成功会提示：HTTP Status 403 – 被禁止