在構建和維護Web應用的過程中，安全問題總是我們最關心的話題之一。今天，我們要探討的是一個經常被忽視的Web漏洞——未關閉或限制不必要的HTTP請求方法。

雖然我們在日常開發中主要使用 GET 和 POST 這兩種請求方法，但像
PUT、DELETE、HEAD、OPTIONS 以及 TRACE
等其他方法的存在同樣不容小覷。如果不加以適當控制，這些方法可能會成為潛在的安全隱患，比如被用于跨站追蹤（XST）攻擊、目錄遍歷攻擊等。

---

一、漏洞描述

HTTP協議定義了多種請求方法，每種方法都有其用途。例如：

• GET：獲取資源
• POST：提交數據
• PUT：更新資源
• DELETE：刪除資源
• HEAD：獲取資源頭部信息
• OPTIONS：獲取服務器支持的請求方法
• TRACE：回顯服務器收到的請求（用于調試）

在大多數Web項目中，我們通常只使用 GET 和 POST。如果服務器默認啟用了其他方法（如 PUT、DELETE 等），而應用又沒有進行限制，攻擊者可能利用這些方法執行惡意操作。

---

二、解決方案詳解

? 1. Tomcat 配置方式

在 Tomcat 中，我們可以通過修改 web.xml 文件來限制某些 HTTP 方法。具體配置如下：

<security-constraint><web-resource-collection><url-pattern>/*</url-pattern><http-method>PUT</http-method><http-method>DELETE</http-method><http-method>HEAD</http-method><http-method>OPTIONS</http-method><http-method>TRACE</http-method></web-resource-collection><auth-constraint><!-- 空表示不允許任何用戶訪問這些方法 --></auth-constraint>
</security-constraint>
<login-config><auth-method>BASIC</auth-method>
</login-config>

📌 配置說明：

• <url-pattern>/*</url-pattern>：表示對所有路徑生效。
• <http-method>：列出你想要限制的HTTP方法。
• <auth-constraint>：為空表示沒有用戶可以訪問這些方法。
• <login-config>：啟用基本認證（可選，主要用于安全增強）。

修改后，重啟 Tomcat 即可生效。

---

? 2. 使用 Nginx 限制請求方法

如果你的Web應用前面使用了 Nginx 作為反向代理，也可以通過 Nginx 來限制不安全的HTTP方法：

location / {if ($request_method ~ ^(PUT|DELETE|HEAD|OPTIONS|TRACE)$) {return 405;}
}

📌 配置說明：

• 使用 if 判斷 $request_method，匹配到不安全的方法時返回 405 Method Not Allowed。
• 這種方式更適用于部署在Nginx后端的任何Web服務器（如 Tomcat、Node.js、Python 等）。

---

? 3. Java 代碼中限制請求方法

可以通過過濾器的方式對方法進行過濾：

import org.springframework.stereotype.Component;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;@Component
public class HttpMethodRestrictionFilter implements Filter {// 可以允許的請求方法private static final String[] ALLOWED_METHODS = {"GET", "POST"};@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;HttpServletResponse httpResponse = (HttpServletResponse) response;String method = httpRequest.getMethod();// 判斷是否是允許的方法boolean allowed = false;for (String allowedMethod : ALLOWED_METHODS) {if (allowedMethod.equalsIgnoreCase(method)) {allowed = true;break;}}if (!allowed) {// 方法不允許，返回 405 Method Not AllowedhttpResponse.sendError(HttpServletResponse.SC_METHOD_NOT_ALLOWED, "Method Not Allowed");return;}// 繼續后續過濾器或請求處理chain.doFilter(request, response);}
}

---

三、如何測試是否生效？

你可以使用 curl 命令來測試是否成功禁用了不安全的請求方法：

curl -v -X OPTIONS http://你的地址

如果返回結果中沒有類似 Allow: GET, POST 的信息，或者返回了 405 Method Not Allowed，說明配置已經生效。

---

四、總結與建議

關閉不必要的HTTP請求方法是提升Web應用安全性的重要一環。不同環境和框架下，實現方式各有不同，但核心思想一致：

• 明確哪些方法是必要的，只允許這些方法；
• 關閉或限制其他方法，防止被攻擊者利用；
• 優先在反向代理層（如Nginx）進行限制，效率更高；
• 結合代碼和配置雙重保障，確保安全無死角。

通過采取這些措施，我們可以大大減少因未關閉不必要的HTTP請求方法而帶來的風險，為我們的Web應用筑起一道堅固的安全防線。