代码之家  ›  专栏  ›  技术社区  ›  Rasool Ghafari

如何在spring boot和嵌入式tomcat中设置mod_reqtimeout?

embedded-tomcat-8 tomcat spring-boot spring
  •  0
  • Rasool Ghafari  · 技术社区  · 7 年前

    我有一个使用嵌入式tomcat的spring boot应用程序,我想设置 mod_reqtimeout 防止慢速http dos攻击。如何在spring boot配置中设置或初始化此模块?

    acunetix显示了以下警告:

    您的web服务器容易受到慢速HTTP DoS(拒绝服务)攻击。 Slowloris和Slow HTTP POST DoS攻击依赖于这样一个事实,即HTTP协议在设计上要求服务器在处理请求之前完全接收请求。如果HTTP请求未完成,或者传输速率非常低,服务器会让其资源忙着等待其余的数据。如果服务器使太多资源处于繁忙状态,则会造成拒绝服务。

    当我在谷歌上搜索这个警告时,我发现应该设置了 mod_请求超时 如下所示:

    https://httpd.apache.org/docs/trunk/mod/mod_reqtimeout.html

    2 回复  |  直到 7 年前
        1
  •  0
  •   Rasool Ghafari    7 年前

    我解决了注入以下bean的问题,并设置了连接器的连接超时: 

    @Bean
public EmbeddedServletContainerFactory servletContainerFactory() {
    TomcatEmbeddedServletContainerFactory factory = new TomcatEmbeddedServletContainerFactory();

    factory.addConnectorCustomizers(connector ->
            ((AbstractProtocol) connector.getProtocolHandler()).setConnectionTimeout(8000));

    return factory;
}
        2
  •  0
  •   mahyar    6 年前

    在spring boot 1.4或更高版本中,可以在应用程序属性中使用以下配置: 

    server.connection-timeout

    连接器在关闭连接之前等待另一个HTTP请求的时间。未设置时,将使用连接器特定于容器的默认值。使用值-1表示无(即无限)超时。

    资料来源: https://docs.spring.io/spring-boot/docs/current/reference/html/common-application-properties.html

    推荐文章
    PatPanda  ·  使用springboot验证请求中的列表是否为[null]
    5 月前
    Bojidar Kaloyanov  ·  为什么即使有有效的JWT,Spring Boot也会对安全端点的POST请求返回403 Forbidden?
    5 月前
    mikeb  ·  Maven和Spring引导-我需要强制logback 1.5.13,但不能
    5 月前
    Nuñito Calzada  ·  AWS SDK 1.12.780 Java版的凭据
    6 月前
    Python_user  ·  build/lib不是由gradle build生成的
    6 月前
    Chirag Arora  ·  如何在构造函数中使用注入的依赖关系?
    6 月前
    sree  ·  Spring Mongo仓库:通过传递id列表来获取对象列表
    6 月前
    David  ·  如何修复javax/xml/bind/DatatypeConverter的java.lang.NoClassDefFoundError错误
    10 月前
    RobertC  ·  Spring中默认实现的Autowire接口
    10 月前
    molLbach  ·  向Spring后端发送axios post请求时出现400错误
    10 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号