Как запретить `DELETE` http-запрос в Springboot? - PullRequest
Новая
       5

Как запретить `DELETE` http-запрос в Springboot?

0 голосов
/ 17 мая 2018

Отдел безопасности просит нас запретить DELETE и какой-либо другой метод http-запроса, если нам не нужно использовать его в наших приложениях.В SpringMVC я могу добавить security-constraint в web.xml следующим образом: 

<security-constraint>  
<display-name>delete-method</display-name>  
<web-resource-collection>  
    <web-resource-name>unsafe-method</web-resource-name>  
    <url-pattern>/*</url-pattern>
    <http-method>DELETE</http-method>
</web-resource-collection>  
<auth-constraint/>

Но я не знаю, как добавить в Springboot.Сервер tomcat8.x и работает на CentOS.

1 Ответ

0 голосов
/ 17 мая 2018

Вы можете использовать CORS фильтр для него.Вы можете указать разрешенные HTTP типы запросов.

Пример из Spring документов : 

<mvc:cors>

    <mvc:mapping path="/api/**"
        allowed-origins="http://domain1.com, http://domain2.com"
        allowed-methods="GET, PUT"
        allowed-headers="header1, header2, header3"
        exposed-headers="header1, header2" allow-credentials="false"
        max-age="123" />

    <mvc:mapping path="/resources/**"
        allowed-origins="http://domain1.com" />

</mvc:cors>

ИЛИ

Вы можете сделать это с Java.

Вот хорошая реализация 

@Component
public class CorsFilter extends OncePerRequestFilter {

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "GET, POST, PUT, OPTIONS");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "authorization, content-type, xsrf-token");
        response.addHeader("Access-Control-Expose-Headers", "xsrf-token");
        if ("OPTIONS".equals(request.getMethod())) {
            response.setStatus(HttpServletResponse.SC_OK);
        } else {
            filterChain.doFilter(request, response);
        }
    }
}
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...