- How to reproduce the same?
Ci sono più risposte su questo sito esattamente per quella domanda. Digitando HTTP method
nella casella di ricerca viene visualizzato:
- How to fix this problem issue?
Sotto Tomcat, puoi disabilitare i metodi specifici tramite il file di configurazione web.xml :
<security-constraint>
<web-resource-collection>
<web-resource-name><strong>restricted methods</strong></web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>POST</http-method>
<http-method>DELETE</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
Come @Danny fa notare nei commenti, potresti volere una lista bianca anziché una lista nera e ecco un esempio di Tomcat 7 . Ecco una alternativa per Tomcat 6 .
Detto questo, una lista nera è spesso sufficiente per i metodi HTTP perché:
- C'è un elenco ragionevolmente statico / immutabile di ciò che è supportato,
- I metodi non supportati vengono generalmente ignorati da qualsiasi server Web competente
Detto questo, se il report di Tomcat che fa distinzione tra maiuscole e minuscole è vero, una whitelist sarebbe il modo appropriato per compensare il software scadente.