maxPostSize определяет, насколько большим может быть POST, прежде чем Tomcat "автоматически" проанализирует его, что бы это ни значило.
Если вы делаете это по соображениям безопасности, вам нужно дважды подумать о том, как вы это делаете. Атака DOS не собирается удобно объявлять его размер в виде заголовка HTTP-запроса, она просто отправляет данные до тех пор, пока ваш сервер не перевернется.
Вы можете проверить заголовок Content-Length запроса и сразу отклонить его, если он отсутствует, или слишком большой, но вы рискуете отклонить подлинных клиентов, которые не предоставляют заголовок что многие не будут.
В противном случае вам просто нужно будет прочитать данные запроса, пока они не превысят пороговое значение, а затем отклонят их.
В любом случае, контейнер не может вам помочь.