반응형
웹서버는 HTTP 통신 방식에 따라 GET, POST, PUT, DELETE, HEAD, OPTIONS, TRACE 메서드를 제공합니다.
이러한 메서드를 모두 사용 가능하게 할 경우 보안상 문제가 발생함으로 GET, POST 이외에는 사용하지 못하도록 설정을 해야 합니다.
다음은 톰캣에서 HTTP Method 설정 방법입니다.
Tomcat으로만
vi /usr/local/tomcat/conf/web.xml
아래 내용을 추가해줍니다.
예를 들어 PUT, DELETE, TRACE, OPTIONS 외부 질의 시 거부하도록 설정하는 구문입니다.
<security-constraint>
<display-name>Forbidden</display-name>
<web-resource-collection>
<web-resource-name>Forbidden</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint>
<role-name></role-name>
</auth-constraint>
</security-constraint>
web.xml에 설정을 추가한 후 telnet localhost 8080을 입력합니다.
이상태에서 위에서 제한 설정한 OPTIONS 으로 테스트를 진행해봅니다.
아래 명령어를 콘솔에 입력 후 엔터 키를 두번 누르면 정상적으로 제한되었는지 확인할 수 있습니다.
OPTIONS / HTTP/1.0반응형
'개발' 카테고리의 다른 글
| 스프링 중복 로그인 방지하기 (0) | 2020.11.29 |
|---|---|
| 안드로이드/ios webview 자바스크립트로 뒤로가기 감지하기 (0) | 2020.11.27 |
| 리눅스에서 apache + tomcat 연동 방법 (0) | 2020.08.16 |
| 해시(Hash) 기본 개념과 구조 (0) | 2020.08.13 |
| JVM 메모리 구조 및 JVM 튜닝 (0) | 2020.08.13 |