tomcat的安全配置(禁用http方法,部署多个应用,启用从安全cookie,指定错误页面和显示信息)
2016-09-06 10:06
896 查看
配置版本:tomcat6
1,虚拟路径,可以配置多个host在一个tomcat中,docbase是web应用目录,此处在server.xml中添加应用配置,要让server.xml配置生效需要重启tomcat
<Host name="XXXXx" appBase="D:\webroot"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="/" reloadable="true" docBase="D:\webroot\xxx\WebRoot\" />
</Host>
2,禁用不需要的http方法,一般禁用delete,put,默认情况tomcat禁止了delete,put,访问返回403-forbiden,此处在web.xml的<web-app>中添加如下禁用配置,
[b]要让web.xml配置生效需要重启tomcat[/b]
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
3,启用安全cookie,防止xss跨站点攻击,tomcat6开始支持此属性,此处在context.xml中添加启用配置,[b]context.xml配置即调用时生效不需要重启tomcat[/b]
http://tomcat.apache.org/tomcat-6.0-doc/config/context.html
<Context useHttpOnly="true">
4,修改tomcat版本信息,防泄漏:
1)进入apache-tomcat目录lib下,找到catalina.jar,使用压缩工具依次找到org\apache\catalina\util下的ServerInfo.properties
打开ServerInfo.properties编辑:(去掉版本信息)如下
server.info=Apache Tomcat
server.number=
server.built=
2)设置web.xml的error-page,指定返回页面。此处可在应用中配置,应用中配置则只在当前应用生效。
<error-page>
<error-code>500</error-code>
<location>/500.html</location>
</error-page>
1,虚拟路径,可以配置多个host在一个tomcat中,docbase是web应用目录,此处在server.xml中添加应用配置,要让server.xml配置生效需要重启tomcat
<Host name="XXXXx" appBase="D:\webroot"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
<Context path="/" reloadable="true" docBase="D:\webroot\xxx\WebRoot\" />
</Host>
2,禁用不需要的http方法,一般禁用delete,put,默认情况tomcat禁止了delete,put,访问返回403-forbiden,此处在web.xml的<web-app>中添加如下禁用配置,
[b]要让web.xml配置生效需要重启tomcat[/b]
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
3,启用安全cookie,防止xss跨站点攻击,tomcat6开始支持此属性,此处在context.xml中添加启用配置,[b]context.xml配置即调用时生效不需要重启tomcat[/b]
http://tomcat.apache.org/tomcat-6.0-doc/config/context.html
<Context useHttpOnly="true">
4,修改tomcat版本信息,防泄漏:
1)进入apache-tomcat目录lib下,找到catalina.jar,使用压缩工具依次找到org\apache\catalina\util下的ServerInfo.properties
打开ServerInfo.properties编辑:(去掉版本信息)如下
server.info=Apache Tomcat
server.number=
server.built=
2)设置web.xml的error-page,指定返回页面。此处可在应用中配置,应用中配置则只在当前应用生效。
<error-page>
<error-code>500</error-code>
<location>/500.html</location>
</error-page>
相关文章推荐
- 在Eclipse Galileo中配置Tomcat及代码显示HttpServlet相关错误信息处理方法
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- 启用win7下IIS7的http500错误详细信息提示显示的方法步骤
- 启用win7下IIS7的http500错误详细信息提示显示的方法步骤
- 启用win7下IIS7的http500错误详细信息提示显示的方法步骤
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- [轻微]WEB服务器启用了OPTIONS方法/如何禁止DELETE,PUT,OPTIONS等协议访问应用程序/tomcat下禁用不安全的http方法
- 显示指定的错误页面,同时把错误信息写入系统日志文件
- 回发或回调参数无效。在配置中使用 或在页面中使用 启用了事件验证。出于安全目的,此功能验证回发或回调事件的参数是否来源于最初呈现这些事件的服务器控件。如果数据有效并且是预期的,则使用 ClientScriptManager.RegisterForEventValidation 方法来注册回发或回调数据以进行验证。
- asp.net中当服务器出错时显示指定的错误页面,同时把错误信息写入系统日志文件的探讨
- 关于配置weblogic密匙库信息、SSL,启用HTTPS、禁用HTTP的相关配置文档说明
- Jboss配置&应用部署错误信息记录
- tomcat下禁用不安全的http方法
- tomcat下禁用不安全的http方法
- FW: HTTP错误500显示具体的出错信息的方法
- Linux下安装Apache Http Server 的配置+一些错误信息的解决方法
- IIS7配置ASP详细错误信息发送到浏览器显示的方法
- HTTP 错误 405.0 - Method Not Allowed 无法显示您正在查找的页面,因为使用了无效方法(HTTP 谓词)。
- linux中tomcat部署项目报错,如何显示错误信息?
- asp.net中当服务器出错时显示指定的错误页面,同时把错误信息写入系统日志文件