代码之家  ›  专栏  ›  技术社区  ›  blackdog

如何在Springboot中禁止'DELETE'http请求?

tomcat spring-boot spring
  •  2
  • blackdog  · 技术社区  · 6 年前

    安全部门要求我们禁止 DELETE 如果我们不需要在应用程序中使用它,还可以使用其他一些http请求方法。在里面 SpringMVC 我可以添加 security-constraint 在里面 web.xml 像这样: 

    <security-constraint>  
<display-name>delete-method</display-name>  
<web-resource-collection>  
    <web-resource-name>unsafe-method</web-resource-name>  
    <url-pattern>/*</url-pattern>
    <http-method>DELETE</http-method>
</web-resource-collection>  
<auth-constraint/>

    但我不知道怎么加进去 Springboot .服务器为 tomcat8.x 并在CentOS运行。

    1 回复  |  直到 6 年前
        1
  •  1
  •   htshame    6 年前

    你可以用 CORS 对其进行筛选。您可以指定允许 HTTP 请求类型。

    示例来自 the Spring docs : 

    <mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>

    你可以用 Java .

    这是答案 nice implementation 

    @Component
public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            filterChain.doFilter(request, response);
        }
    }
}
    推荐文章
    Never_se  ·  Java Spring requestMatchers允许经过身份验证的路径中的路径
    1 年前
    Yossi R  ·  Spring批处理存储库ItemReader HEAP SIZE问题
    1 年前
    Prince Asokan  ·  无法解决Spring boot 1.5.x到2.x.x的升级问题
    2 年前
    Hermes Chavez  ·  如何将springboot rest端点转换为spring webflux反应端点
    2 年前
    AntonBoarf  ·  为什么要将实例变量指定给局部变量?
    2 年前
    user9137963  ·  spring boot应用程序可在intellij上使用,但不能与一起使用。jar文件
    2 年前
    Sampeteq  ·  用户登录的端点(Spring Security)
    2 年前
    Java Dev Beginner  ·  使用“%”条件像sql一样搜索本机sql
    2 年前
    Peter Penzov  ·  需要“org”类型的bean。springframework。云netflix。带子找不到SpringClientFactory
    2 年前
    user1610362  ·  Azure ServiceBus JMS库是否支持托管身份?
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号