搜索
搜索

警告:JACC:对于URL模式xxx,除以下方法外,所有其他方法均未发现:POST,GET

tiny 发表于 Dev
13

javax.faces.webapp.FacesServlet文档中提到了

允许的HTTP方法

JSF规范仅要求使用GET和POST http方法。如果您的Web应用程序不需要任何其他http方法(例如PUT和DELETE),请考虑使用<http-method>and<http-method-omission>元素限制允许的http方法有关使用这些元素的更多信息,请参见Java Servlet规范的安全性。

我的应用程序确实不依赖于其他HTTP方法(GET除外POST)。因此,我尝试使用<http-method>(或<http-method-omission>)排除除GET以外的所有方法POST

在web.xml中,如下配置JAAS Servlet安全约束。

<security-constraint>
    <display-name>AdminConstraint</display-name>
    <web-resource-collection>
        <web-resource-name>ROLE_ADMIN</web-resource-name>
        <description/>
        <url-pattern>/admin_side/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>ROLE_ADMIN</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description/>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

<security-constraint>
    <display-name>UserConstraint</display-name>
    <web-resource-collection>
        <web-resource-name>ROLE_USER</web-resource-name>
        <description/>
        <url-pattern>/user_side/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <description/>
        <role-name>ROLE_USER</role-name>
    </auth-constraint>
    <user-data-constraint>
        <description/>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

使用这些元素,

<http-method>GET</http-method>
<http-method>POST</http-method>

我希望所有其他HTTP方法都是不允许的。

但是,GlassFish Server 4.1在服务器终端上记录以下警告。

警告:JACC:对于URL模式/user_side/*,除以下方法外,所有其他方法均未发现:POST,GET

警告:JACC:对于URL模式/admin_side/*,除以下方法外,所有其他方法均未发现:POST,GET

这是什么意思?

另外<security-constraint>,也可以在全局中配置它,而不是在所有元素中都使用它,以便可以将其应用于应用程序中的所有资源,GET并且POST可以省略所有HTTP请求HTTP请求之外的所有请求,也就是可以全局地应用于应用程序-也许可以使用更通用的专用工具。像url模式/*

有一个例子在这里

<security-constraint>
    <display-name>WebConstraint</display-name>

    <web-resource-collection>
        <web-resource-name>test</web-resource-name>
        <description/>
        <url-pattern>/test.jsp</url-pattern>
        <http-method>POST</http-method>
        <http-method>HEAD</http-method>
        <http-method>PUT</http-method>
        <http-method>OPTIONS</http-method>
        <http-method>TRACE</http-method>
        <http-method>DELETE</http-method>
    </web-resource-collection>

    <auth-constraint>
        <description/>
        <role-name>dev</role-name>
     </auth-constraint>
</security-constraint>

上述元素表示由url模式/test.jsp引用的资源在被除GET之外的所有http方法访问时,应限制为仅由属于角色dev的经过身份验证的用户查看。请注意,安全性约束不适用于http方法GET,而仅适用于其他方法(POST,HEAD,PUT等)。

我发现强文本中的最后一句话令人困惑。这是否意味着使用GET请求,匿名用户可以访问给定url模式中列出的资源,因为这意味着“安全性约束不适用于http-method GET ”?

不重要

这是什么意思?

这意味着除GET和POST之外的所有方法均被发现,即不受保护。每个人都可以使用/user_side/*PUT和HEAD之类的方法访问url模式,而无需进行身份验证。

为了保护其他方法,请添加以下内容:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>protected</web-resource-name>
        <url-pattern>/user_side/*</url-pattern>
        <http-method-omission>GET</http-method-omission>
        <http-method-omission>POST</http-method-omission>
    </web-resource-collection>
    <auth-constraint/>
</security-constraint>

如果使用的是Servlet 3.1,则还可以使用更短的标记:

<deny-uncovered-http-methods/>

另外,也可以在全局中配置它,而不是在所有元素中都使用它,以便可以将其应用于应用程序中的所有资源,并且可以忽略除GET和POST HTTP请求以外的所有请求,即,将其全局应用到应用程序-也许使用更多像/ *这样的通用url模式?

是的,这是可能的。您可以使用url模式/包括所有子文件夹。

我发现强文本中的最后一句话令人困惑。这是否意味着使用GET请求,匿名用户也可以访问给定url模式中列出的资源,因为这意味着“安全性约束不适用于http-方法GET”?

没错,这意味着匿名用户可以使用GET方法访问给定的url-pattern。所有其他方法均受保护。

也可以看看:

本文收集自互联网,转载请注明来源。

如有侵权,请联系 [email protected] 删除。

编辑于
0

我来说两句

0 条评论
登录 后参与评论

相关文章

您如何使方法内部产生的变量可用于类中的所有其他方法?

是否有其他方法可以在 Pandas 中创建从所有其他行派生的逐行数据?

(模式和匹配器)未发现所有模式匹配

模拟其他方法

对于HSSF内置颜色,是否还有其他方法可以避免Apache POI中的过时使用?

为什么query.get比其他方法快?

Kotlin when(Pair <>),还有其他方法吗?

有哪些其他方法可以登录到Firebase?

PHP还有很多其他方法吗?

以下方法的设计模式名称

从调用其他方法的方法

POST方法未发送所有数据

有使用其他类方法的其他方法吗?

OneNote-将笔记本中的所有部分导出到Word?或其他方法获得相同的结果

类方法指向其他类的其他方法

是否有其他方法可以移动、更改和关联其他目录?

如何从其他方法引用变量?

JMock允许其他方法调用

改为调用其他方法

使用其他方法改进for循环

Primefaces SelectOneMenu阻止其他方法

ifPresent流的其他方法

用其他方法调用函数

显示Scalatest结果的其他方法

Axios阻止执行其他方法

使DynamicMethod调用其他方法

从其他方法更新UITableViewCell

Java是否嵌套?其他方法?

如何使用其他方法的输入?

TOP 榜单

  1. 1

    Qt Creator Windows 10 - “使用 jom 而不是 nmake”不起作用

  2. 2

    使用next.js时出现服务器错误,错误:找不到react-redux上下文值;请确保组件包装在<Provider>中

  3. 3

    SQL Server中的非确定性数据类型

  4. 4

    Swift 2.1-对单个单元格使用UITableView

  5. 5

    如何避免每次重新编译所有文件?

  6. 6

    在同一Pushwoosh应用程序上Pushwoosh多个捆绑ID

  7. 7

    Hashchange事件侦听器在将事件处理程序附加到事件之前进行侦听

  8. 8

    应用发明者仅从列表中选择一个随机项一次

  9. 9

    在 Avalonia 中是否有带有柱子的 TreeView 或类似的东西?

  10. 10

    HttpClient中的角度变化检测

  11. 11

    在Wagtail管理员中,如何禁用图像和文档的摘要项?

  12. 12

    如何了解DFT结果

  13. 13

    Camunda-根据分配的组过滤任务列表

  14. 14

    错误:找不到存根。请确保已调用spring-cloud-contract:convert

  15. 15

    为什么此后台线程中未处理的异常不会终止我的进程?

  16. 16

    构建类似于Jarvis的本地语言应用程序

  17. 17

    使用分隔符将成对相邻的数组元素相互连接

  18. 18

    您如何通过 Nativescript 中的 Fetch 发出发布请求?

  19. 19

    通过iwd从Linux系统上的命令行连接到wifi(适用于Linux的无线守护程序)

  20. 20

    使用React / Javascript在Wordpress API中通过ID获取选择的多个帖子/页面

  21. 21

    使用 text() 獲取特定文本節點的 XPath

热门标签

归档