국민 어플리케이션서버인(?) 톰캣을 사용하다보면 get과 post방식만 허용을 해야되는 경우가 있습니다.
put, delete 및 trace 등 기타 http요청을 통해서 해커가 취약한 코드를 실행하거나 명령을 할 수 있기 때문이라는 이유로 취약점 대비를 위해 종종 설정하기도 합니다.
이러한 설정방법은 매우 간단합니다.
본인의 어플리케이션 파일에서 web.xml 또는 톰캣의 web.xml 파일에 아래와 같은 금지목록 요청을 넣어주면 됩니다.
<security-constraint>
<web-resource-collection>
<web-resource-name>restricted methods</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
url-pattern이라는 엘리먼트에 의해서 모든 url 패턴에 대해서 적용을 하게 되어 있습니다.
그리고 허용하지 않는 형식은 PUT, DELETE, OPTIONS, TRACE 로 정의되어 있습니다.
이렇게 설정을 하면 이제 GET과 POST 방식만 허용되게 됩니다.
이러한 설정을 적용하려면 가급적 톰캣(tomcat) 버전은 6.0 이상부터 고려하여주세요!
이상으로 톰캣 서버에서 get과 post만 허용하기에 대해서 살펴보았습니다.
궁금한점 또는 틀린부분은 언제든 문의주세요! 👻
반응형
'기타' 카테고리의 다른 글
| 윈도우 작업 스케줄러 시작프로그램 등록시 유의사항(Window task scheduler) (0) | 2021.11.01 |
|---|---|
| 톰캣 서버에서의 x-frame-option 적용(anti click jacking) (0) | 2021.10.29 |
| NGINX 프록시(포워딩) 해더(header) 설정 (0) | 2021.10.25 |
| 디지털 원패스 연동 개념 정리(Digital onepass) (8) | 2021.09.23 |
| [MSSQL] 태이블 설명(COMMENT) 보기 (0) | 2021.09.03 |
* 위 에니메이션은 Html의 캔버스(canvas)기반으로 동작하는 기능 입니다. Html 캔버스 튜토리얼 도 한번 살펴보세요~ :)
* 직접 만든 Html 캔버스 애니메이션 도 한번 살펴보세요~ :)
댓글