为什么后端要禁用delete、put

在对于安全级别要求较高的应用场景中，限制HTTP请求类型（如仅允许GET和POST，禁用其他如PUT、DELETE、OPTIONS等）是一个有效的安全措施。以下是从大范围到小范围禁用非必要HTTP请求方法的不同层面策略，特别是在使用Tomcat作为服务容器的情况下：

1. 网络层面（防火墙规则）

配置防火墙规则：在服务器或网络层面设置防火墙规则，仅允许GET和POST请求通过。这通常涉及到对HTTP请求方法的检查，但这可能需要高级的防火墙或网关设备支持HTTP协议层面的内容检查。

2. 应用服务器层面（Tomcat）

a. 自定义过滤器（Filter）

创建HTTP方法过滤器：在Tomcat中编写一个自定义的Servlet过滤器，该过滤器检查进入的HTTP请求的方法。如果不是GET或POST，则拒绝请求或重定向到错误页面。

import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

public class HttpMethodFilter implements Filter {

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest httpRequest = (HttpServletRequest) request;

String method = httpRequest.getMethod();

if (!"GET".equalsIgnoreCase(method) && !"POST".equalsIgnoreCase(method)) {

HttpServletResponse httpResponse = (HttpServletResponse) response;

httpResponse.setStatus(HttpServletResponse.SC_METHOD_NOT_ALLOWED);

httpResponse.getWriter().write("Only GET and POST methods are allowed.");

return;

}

chain.doFilter(request, response);

}

// 省略其他方法实现

}

b. 修改Tomcat配置

虽然Tomcat本身不直接支持通过配置禁用特定HTTP方法，但可以通过配置安全约束（Security Constraints）来限制对特定资源的访问，但这更多是关于URL的访问控制，而非HTTP方法。

3. 应用层面

在应用程序代码中检查：在每个处理HTTP请求的控制器或路由逻辑中，明确检查请求的方法。这适用于Spring MVC、Struts、Servlet等框架。

4. 框架层面

使用安全框架：如Spring Security，可以在配置中设置只允许GET和POST请求。Spring Security提供了灵活的请求匹配和安全策略配置。

5. 客户端库和工具

客户端库和API文档：在客户端库和API文档中明确说明只支持GET和POST方法，并通过客户端库的实现来限制请求类型。

6. 监控和日志

日志和监控：确保所有非GET和POST请求都被记录，并设置警报，以便在出现不期望的请求时及时通知。

综合上述方法，可以根据具体的安全需求和环境选择适合的方案。通常，结合应用服务器层面的自定义过滤器和框架层面的安全配置是较为常见和有效的做法。