我在 Tomcat 中部署了一个 Web 项目。
我已经运行了各种测试,包括安全工具测试。
其中一项测试报告说,使用 OPTIONS 可以检测每个应用程序 URL 可接受的 HTTP 请求。
我的问题是如何禁用此功能?
我不确定为什么会这样。 servlet 实现了 POST 但没有实现其余的方法。
这是编程问题吗?例如,我是否应该重写 doOptions,或者我是否可以在 Tomcat 实例中配置一些东西并摆脱它?
谢谢
最佳答案
我认为最好的解决方案是将 Tomcat 隐藏在强化的反向代理后面。
您可以通过安全代理传递整个 http(s) 流量。它可以检测攻击企图并阻止它们。它可以执行访问控制并终止 SSL。例如,WebSphere DataPower 或 WebSEAL 可用作此类代理。为此,您甚至可以使用 Apache HTTP Server。
关于java - 在 Tomcat 中隐藏应用程序信息,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6656141/