在此页:
目标用户:
CAST AI 管理员
简介:这个页面解释了如何修改Apache Tomcat应用服务器(和其他web应用)来禁用不安全的HTTP方法,比如webdav,以防止修改CAST的web应用页面。
简介
一些Apache Tomcat安装和/或web应用可以配置为使用名为org.apache.catalina.servlets.WebdavServlet(参见https://tomcat.apache.org/tomcat-7.0-doc/api/org/apache/catalina/servlets/WebdavServlet.html)提供webdav对资源的访问。虽然这是一种合法的访问方法,但是如果希望确保没有资源(即页面)可以通过webdav修改,那么需要确保servlet是禁用的。
禁用webdav servlet
webdav servlet可以在全局Tomcat级别上配置,也可以在单独的web应用中配置,因此需要同时检查这两个选项,以确保完全禁用webdav访问。为此搜索web.xml文件在这些位置存在org.apache.catalina.servlets.WebdavServlet:
- %CATALINA_HOME%\conf\
- %CATALINA_HOME%\webapps\<web_application_folder>\
如果发现任何异常,可以通过在注释中放置整个servlet配置来禁用servlet,例如:
<!--
<servlet>
<servlet-name>webdav</servlet-name>
<servlet-class>org.apache.catalina.servlets.WebdavServlet</servlet-class>
<init-param>
<param-name>debug</param-name>
<param-value>0</param-value>
</init-param>
<init-param>
<param-name>listings</param-name>
<param-value>false</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>webdav</servlet-name>
<url-pattern>/*</url-pattern>
</servlet-mapping>
-->
对web.xml配置文件所更改之后,保存这些文件,然后重新启动应用服务器,使更改生效。
禁用webdav servlet会阻止通过webdav访问资源,因此可能需要向使用此访问方法的用户发出警告,告知其正在被禁用。