টমক্যাটে এইচটিটিপি পদ্ধতিগুলি অস্বীকার করা মামলা সংবেদনশীল?

আমি আমার অ্যাপ্লিকেশনটির ওয়েব.এক্সএমএলগুলিতে পুট, ডিলেট, ইত্যাদি বাতিল করার চেষ্টা করার জন্য নিম্নলিখিতটি রেখেছি put

 <security-constraint>
 <web-resource-collection>
  <web-resource-name>restricted methods</web-resource-name>
  <url-pattern>/*</url-pattern>
  <http-method>DELETE</http-method>
  <http-method>PUT</http-method>
  <http-method>SEARCH</http-method>
  <http-method>COPY</http-method>
  <http-method>MOVE</http-method>
  <http-method>PROPFIND</http-method>
  <http-method>PROPPATCH</http-method>
  <http-method>MKCOL</http-method>
  <http-method>LOCK</http-method>
  <http-method>UNLOCK</http-method>
  <http-method>delete</http-method>
  <http-method>put</http-method>
  <http-method>search</http-method>
  <http-method>copy</http-method>
  <http-method>move</http-method>
  <http-method>propfind</http-method>
  <http-method>proppatch</http-method>
  <http-method>mkcol</http-method>
  <http-method>lock</http-method>
  <http-method>unlock</http-method>
 </web-resource-collection>
 <auth-constraint />
 </security-constraint>

ঠিক আছে, তাই এখন:

আমি যদি পদ্ধতিতে অনুরোধ করি তবে আমি DELETE403 ফিরে পাব।

আমি যদি পদ্ধতিতে অনুরোধ করি তবে আমি delete403 ফিরে পাব।

কিন্তু

আমি যদি পদ্ধতিতে অনুরোধ করি তবে আমি DeLeTeঠিক হয়েছি!

আমি কীভাবে এগুলিকে এই সংবেদন-সংবেদনশীলতা বর্জন করতে পারি?

সম্পাদনা করুন: আমি এটি সি # প্রোগ্রাম দিয়ে পরীক্ষা করছি:

    private void button1_Click(object sender, EventArgs e)
    {
        textBox1.Text = "making request";
        System.Threading.Thread.Sleep(400);
        WebRequest req = WebRequest.Create("http://serverurl/Application/cache_test.jsp");
        req.Method = txtMethod.Text;
        try
        {
            HttpWebResponse resp = (HttpWebResponse)req.GetResponse();

            textBox1.Text = "Status: " + resp.StatusCode;

            if (resp.StatusCode == System.Net.HttpStatusCode.OK)
            {
                WebHeaderCollection header = resp.Headers;
                using (System.IO.StreamReader reader = new System.IO.StreamReader(resp.GetResponseStream(), ASCIIEncoding.ASCII))
                {
                    //string responseText = reader.ReadToEnd();
                    textBox1.Text += "\r\n" + reader.ReadToEnd();
                }
            }
        }
        catch (Exception ex)
        {
            textBox1.Text = ex.Message;
        }
    }

txtMethod.Textএকটি পাঠ্য বাক্স যেখানে আমি পদ্ধতির নাম টাইপ করছি। যখন 403 থাকে তখন একটি ব্যতিক্রম ছুঁড়ে দেওয়া হয় যা ক্যাচ ব্লকে ধরা পড়ে।

Cache_test.jsp এর মধ্যে রয়েছে:

<%
response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate, post-check=0, pre-check=0");
response.setHeader("Pragma","no-cache");

out.print("Method used was: "+request.getMethod());
%>

টমক্যাটের এইচটিটিপি স্ট্যান্ডার্ড সম্পর্কিত ভুল আচরণ নির্বিশেষে, আপনার একটি কালো তালিকাভুক্তির পরিবর্তে নির্দিষ্ট পদ্ধতিগুলির অনুমতি দেওয়ার জন্য একটি শ্বেতলিস্ট ব্যবহার করা উচিত।

উদাহরণস্বরূপ, নিম্নলিখিত শ্বেত তালিকাটি কেস-সংবেদনশীল GET এবং বাদে সমস্ত পদ্ধতি অবরুদ্ধ করবে HEAD।

<security-constraint>
    <web-resource-collection>
        <web-resource-name>restricted methods</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method-omission>GET</http-method-omission>
        <http-method-omission>HEAD</http-method-omission>
    </web-resource-collection>
    <auth-constraint />
</security-constraint>

(দ্রষ্টব্য: টমক্যাট +++ প্রয়োজন older পুরানো সংস্করণগুলি ব্যবহার করার জন্য তাদের অন্যান্য সমাধানগুলি যেমন, কোনও সার্লেট ফিল্টারটি তদন্ত করতে হবে))

সূত্র

ঠিক আছে, কিছু এলোমেলো সার্ভারগুলি Server: Apache-Coyotteতাদের এইচটিটিপি জবাবগুলিতে শিরোনামের স্বাক্ষর রাখার বিষয়ে দ্রুত পরীক্ষা করার পরে , মনে হচ্ছে আপনি get / HTTP/1.1\r\nHost: <target_IP>\r\n\r\nপ্রতিবার সরল নেটক্যাট সংযোগের মাধ্যমে প্রেরণ করছেন যখন 400 টি এইচটিপি কোড পাওয়া উচিত ছিল।

এই ক্ষেত্রে :

$ { echo -en "get / HTTP/1.1\r\nHost: <target_IP>:8080\r\n\r\n" ; } | nc <target_IP> 8080

01:14:58.095547 IP 192.168.1.3.57245 > <target_IP>.8080: Flags [P.], seq 1:42, ack 1, win 115, options [nop,nop,TS val 4294788321 ecr 0], length 41
E..]C.@.@..Y......p.....A..v.......s.......
..D.....get / HTTP/1.1
Host: <target_IP>:8080

[...]

01:14:58.447946 IP <target_IP>.8080 > 192.168.1.3.57245: Flags [.], seq 1:1409, ack 43, win 65494, options [nop,nop,TS val 7981294 ecr 4294787971], length 1408
E...f...i.....p.............A..............
.y....C.HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Content-Type: text/html;charset=ISO-8859-1
Transfer-Encoding: chunked
Date: Tue, 27 Jan 2015 00:15:14 GMT

আমি অবশ্যই বলতে পারি যে আমি এখানে কিছুটা হতবাক হয়েছি এবং এইরকম আচরণের ক্ষেত্রে এইচটিটিপি / 1.1 পদ্ধতিতে এই আচরণটি প্রসারিত দেখে আমি অবাক হব না।

আপনার বাগ ট্র্যাকিং সরঞ্জামটির উপর একটি বাগ রিপোর্ট পূরণ করা উচিত এবং উপযুক্ত মেলিং তালিকায় একটি মেইল ​​প্রেরণ করা উচিত কারণ এটি খারাপ পরিণতির সাথে আরএফসি 2616 (নীচে দেখুন) এর এক কুরুচিপূর্ণ লঙ্ঘন।

5.1.1 পদ্ধতি

  The Method  token indicates the method to be performed on the
  resource identified by the Request-URI. The method is case-sensitive.

      Method         = "OPTIONS"                ; Section 9.2
                     | "GET"                    ; Section 9.3
                     | "HEAD"                   ; Section 9.4
                     | "POST"                   ; Section 9.5
                     | "PUT"                    ; Section 9.6
                     | "DELETE"                 ; Section 9.7
                     | "TRACE"                  ; Section 9.8
                     | "CONNECT"                ; Section 9.9
                     | extension-method
      extension-method = token