Page tree
Skip to end of metadata
Go to start of metadata

在此页:

目标用户:

CAST AI 管理员

简介:这个页面解释了如何修改Apache Tomcat应用服务器(和其他web应用)来禁用不安全的HTTP方法,比如webdav,以防止修改CAST的web应用页面。

简介

一些Apache Tomcat安装和/或web应用可以配置为使用名为org.apache.catalina.servlets.WebdavServlet(参见https://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/servlets/WebdavServlet.html)提供webdav对资源的访问。虽然这是一种合法的访问方法,但是如果希望确保没有资源(即页面)可以通过webdav修改,那么需要确保servlet是禁用的。

禁用webdav servlet

webdav servlet可以在全局Tomcat级别上配置,也可以在单独的web应用中配置,因此需要同时检查这两个选项,以确保完全禁用webdav访问。为此搜索web.xml文件在这些位置存在org.apache.catalina.servlets.WebdavServlet

  • %CATALINA_HOME%\conf\
  • %CATALINA_HOME%\webapps\<web_application_folder>\

如果发现任何异常,可以通过在注释中放置整个servlet配置来禁用servlet,例如:

<!--
 <servlet>
  <servlet-name>webdav</servlet-name>
  <servlet-class>org.apache.catalina.servlets.WebdavServlet</servlet-class>
    <init-param>
      <param-name>debug</param-name>
      <param-value>0</param-value>
    </init-param>
    <init-param>
      <param-name>listings</param-name>
      <param-value>false</param-value>
    </init-param>
  </servlet>
  <servlet-mapping>
    <servlet-name>webdav</servlet-name>
    <url-pattern>/*</url-pattern>
  </servlet-mapping>
-->

对web.xml配置文件所更改之后,保存这些文件,然后重新启动应用服务器,使更改生效。

禁用webdav servlet会阻止通过webdav访问资源,因此可能需要向使用此访问方法的用户发出警告,告知其正在被禁用

  • No labels