tomcat 禁用不安全的http請求方式（轉）?
1：我的配置

web.xml(url下禁用的請求方式)?
<security-constraint>?
<web-resource-collection>?
<url-pattern>/*</url-pattern>?
<http-method>PUT</http-method>?
<http-method>DELETE</http-method>?
<http-method>HEAD</http-method>?
<http-method>OPTIONS</http-method>?
<http-method>TRACE</http-method>?
</web-resource-collection>?
<auth-constraint>?
</auth-constraint>?
</security-constraint>?
在網上找的，比較詳細

WebDAV （Web-based Distributed Authoring and Versioning） 一種基于 HTTP 1.1協議的通信協議.它擴展了HTTP 1.1，在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法，使應用程序可直接對Web Server直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制。

HTTP/1.1協議中共定義了八種方法（有時也叫“動作”）來表明Request-URI指定的資源的不同操作方式：

　　OPTIONS 返回服務器針對特定資源所支持的HTTP請求方法。也可以利用向Web服務器發送’*’的請求來測試服務器的功能性。　

　　HEAD 向服務器索要與GET請求相一致的響應，只不過響應體將不會被返回。這一方法可以在不必傳輸整個響應內容的情況下，就可以獲取包含在響應消息頭中的元信息。　

　　GET 向特定的資源發出請求。注意：GET方法不應當被用于產生“副作用”的操作中，例如在web app.中。其中一個原因是GET可能會被網絡蜘蛛等隨意訪問。　

　　POST 向指定資源提交數據進行處理請求（例如提交表單或者上傳文件）。數據被包含在請求體中。POST請求可能會導致新的資源的建立和/或已有資源的修改。　

　　PUT 向指定資源位置上傳其最新內容。　

　　DELETE 請求服務器刪除Request-URI所標識的資源。　

　　TRACE 回顯服務器收到的請求，主要用于測試或診斷。　

　　CONNECT HTTP/1.1協議中預留給能夠將連接改為管道方式的代理服務器。　

　　方法名稱是區分大小寫的。當某個請求所針對的資源不支持對應的請求方法的時候，服務器應當返回狀態碼405（Method Not Allowed）；當服務器不認識或者不支持對應的請求方法的時候，應當返回狀態碼501（Not Implemented）。　

　　HTTP服務器至少應該實現GET和HEAD方法，其他方法都是可選的。當然，所有的方法支持的實現都應當符合下述的方法各自的語義定義。此外，除了上述方法，特定的HTTP服務器還能夠擴展自定義的方法。

http的訪問中，一般常用的兩個方法是：GET和POST。其實主要是針對DELETE等方法的禁用。有兩種方式：

一、修改應用中的web.xml：

第一步：修改web-app協議Xml代碼 <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" version="2.4"> 第二部：在應用程序的web.xml中添加如下的代碼即可<security-constraint> <web-resource-collection> <url-pattern>/*</url-pattern> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method> </web-resource-collection> <auth-constraint> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> </login-config>

二、修改tomcat中conf下的web.xml?
修改應用中的web.xml就只針對本應用起作用，修改tomcat中的web.xml就可以對啟動在該tomcat下所有的應用起作用。

在未限制DELETE等方法前(即未做上述web.xml的內容的添加之前)，測試http的DELETE方法的效果，方式如下：

第一步：

在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化參數?

readonly?
false?

readonly參數默認是true，即不允許delete和put操作，所以默認的通過XMLHttpRequest對象的put或者delete方法訪問就會報告 http 403 forbidden 錯誤。

第二步:

從客戶端通過 Ajax XMLHTTPRequest 發起 DELETE/PUT 請求,利用AJAX的方式調用DELETE,

<script type="text/javascript"> function getXMLHTTPRequest(){ if (XMLHttpRequest) { return new XMLHttpRequest(); } else { try{ return new ActiveXObject('Msxml2.XMLHTTP'); }catch(e){ return new ActiveXObject('Microsoft.XMLHTTP'); } } } var req = getXMLHTTPRequest(); req.open('DELETE','http://localhost:8080/yours_web/test.html',false); req.send(null); document.write(req.responseText); </script>

document.write(req.responseText);這一句既是調用了Ajax，也是將刪除的test.html返回回來，如果刪除成功，那么應該看到的是404的效果。

另外對于web.xml配置參數的說明可參考：

http://www.blogjava.net/baoyaer/articles/107428.html

對于http深入了解可以參考：

http://blog.csdn.net/lyq5655779/article/details/7515284

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的tomcat web.xml配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。