如何解决禁用嵌入式码头服务器的跟踪?
我正在处理一个项目,我想为嵌入式码头服务器禁用 TRACE 方法。事实证明,默认情况下,嵌入式服务器并未禁用它。
我尝试使用以下来源创建约束甚至过滤器: Java embedded jetty is accepting HTTP TRACE method
它可以工作,但是当我尝试 OPTIONS 方法时,它仍然将 TRACE 显示为允许。
如何确保 OPTIONS 方法显示不允许跟踪?
注意:
OPTIONS 返回以下标题; 允许:获取、选项、跟踪 我想要的是: 允许:获取,选项
编辑
ServletContextHandler myContext = new ServletContextHandler();
ServletHolder servletHolder = new ServletHolder(new MyServlet());
myContext.addServlet(servletHolder,"/");
myContext.addFilter(MyFilter.class,"/",EnumSet.of(DispatcherType.REQUEST));
contextHandlers.add(myContext);
解决方法
有一些变动的部分...使 TRACE 无法工作,并从 OPTIONS Allow 响应标头字段中删除 TRACE。
首先,让我们解决简单的问题,禁用 TRACE。
这是通过 ServletContext 级别的约束映射完成的。
这将影响所有 Servlet 端点对 TRACE 的所有使用。
见下面的例子。
接下来,从 OPTIONS Allow 标头字段中删除 TRACE。
这不像禁用 TRACE 那样以全局方式实现。
这是因为每个 HttpServlet 都有一个 doOptions(HttpServletRequest,HttpServletResponse) 的默认实现,它总是将 TRACE 和 OPTIONS 添加到 Allow 标头,以及您专门为该特定 {{ 1}} 端点。
您可以在此处查看 HttpServlet 的实际默认实现...
为什么在 OPTIONS 方法请求中总是返回 TRACE 和 OPTIONS?
这是因为 HttpServlet.doOption 中这些方法的默认实现总是返回响应,因此它们总是被添加到 HttpServlet 标头中。
这意味着 OPTIONS 是在每个 servlet 范围内控制的。
您可以在您的特定 servlet 中覆盖 Allow 方法并使其返回您想要的内容,但您不能让顶级约束或过滤器控制它,因为约束和过滤器都不知道 Servlet 端点的详细信息以正确确定 OPTIONS doOptions 标头的其他部分(如 Allow、GET、HEAD、POST 等...)
以下是一些示例代码,用于显示正确的约束映射和可选的 doOption 覆盖。
PUT您始终可以将 package jetty;
import java.io.IOException;
import java.io.InputStream;
import java.net.HttpURLConnection;
import java.net.URL;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.eclipse.jetty.security.ConstraintMapping;
import org.eclipse.jetty.security.ConstraintSecurityHandler;
import org.eclipse.jetty.server.Server;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.util.IO;
import org.eclipse.jetty.util.component.LifeCycle;
import org.eclipse.jetty.util.security.Constraint;
import static java.nio.charset.StandardCharsets.UTF_8;
public class NoTraceDemo
{
public static void main(String[] args)
{
Server server = new Server(8888);
ServletContextHandler servletContextHandler = new ServletContextHandler();
servletContextHandler.addServlet(HelloServlet.class,"/");
ConstraintSecurityHandler constraintSecurityHandler = new ConstraintSecurityHandler();
servletContextHandler.setSecurityHandler(constraintSecurityHandler);
Constraint constraintDisableTrace = new Constraint();
constraintDisableTrace.setAuthenticate(true);
ConstraintMapping mappingDisableTrace = new ConstraintMapping();
mappingDisableTrace.setPathSpec("/");
mappingDisableTrace.setMethod("TRACE");
mappingDisableTrace.setConstraint(constraintDisableTrace);
constraintSecurityHandler.addConstraintMapping(mappingDisableTrace);
Constraint constraintEnabledEverythingButTrace = new Constraint();
ConstraintMapping mappingEnableEverythingButTrace = new ConstraintMapping();
mappingEnableEverythingButTrace.setPathSpec("/");
mappingEnableEverythingButTrace.setMethodOmissions(new String[]{"TRACE"});
mappingEnableEverythingButTrace.setConstraint(constraintEnabledEverythingButTrace);
constraintSecurityHandler.addConstraintMapping(mappingEnableEverythingButTrace);
server.setHandler(servletContextHandler);
try
{
server.start();
URL url = server.getURI().toURL();
request("TRACE",url);
request("OPTIONS",url);
request("GET",url);
}
catch (Throwable t)
{
t.printStackTrace();
}
finally
{
LifeCycle.stop(server);
}
}
private static void request(String method,URL url)
{
try
{
HttpURLConnection http = (HttpURLConnection)url.openConnection();
http.setDoOutput(true);
http.setRequestMethod(method);
System.out.println("---------");
System.out.printf("%s %s HTTP/1.1%n",http.getRequestMethod(),http.getURL());
System.out.println("----");
System.out.printf("%s%n",http.getHeaderField(null));
http.getHeaderFields().entrySet().stream()
.filter(entry -> entry.getKey() != null)
.forEach((entry) -> System.out.printf("%s: %s%n",entry.getKey(),http.getHeaderField(entry.getKey())));
InputStream bodyStream = (http.getResponseCode() == 200) ? http.getInputStream() : http.getErrorStream();
if (bodyStream != null)
{
String body = IO.toString(bodyStream,UTF_8);
System.out.println(body);
}
}
catch (Throwable t)
{
t.printStackTrace(System.out);
}
}
public static class HelloServlet extends HttpServlet
{
@Override
protected void doGet(HttpServletRequest req,HttpServletResponse resp) throws ServletException,IOException
{
resp.setCharacterEncoding("utf-8");
resp.setContentType("text/plain");
resp.getWriter().printf("Hello from %s%n",this.getClass().getName());
}
/*
@Override
protected void doOptions(HttpServletRequest req,IOException
{
// build allow here.
// see HttpServlet.doOptions(HttpServletRequest,HttpServletResponse) for example
String allow = "GET,PUT,OPTIONS";
resp.setHeader("Allow",allow);
}
*/
}
}
方法复制/粘贴到您自己的 servlet 中,只需删除或更改 TRACE 行为默认值即可。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
