Tomcat 中协议和端口的不正确混合是安全问题吗?
我已经在Windows环境中为Tomcat 6.0.18启用了自签名证书。在服务器中.xml在Tomcat的conf文件夹中,HTTP端口配置为8080,HTTPS端口配置为8443。一切都按预期工作。也就是说,所有HTTP请求都被重定向到HTTPS。
以下是我的8080端口的连接器设置
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000" enableLookups="false"
redirectPort="8443" />
以下是端口8443的连接器设置
<Connector port="8443"
protocol="org.html" target="_blank">apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="c:\ssl\keystore"
keystorePass="<password>"
clientAuth="false"
sslProtocol="TLS" />
但是,当在Internet Explorer中输入错误的协议和端口组合(< code > http://localhost:8443 )时,它会显示5个矩形。
在Firefox中,它会显示一个问号字符,如下所示。
这对我来说是一个安全问题。这是安全问题吗?有没有人遇到过这样的问题?这是安全漏洞吗?对此有什么补救措施?非常感谢这方面的任何帮助。
谢谢
瓦普劳
共有1个答案
在server.xml的SSL 中有< code>SSLEnabled="true" 、< code>scheme="https"和< code>secure="true"吗
假设您已经正确设置了上述内容,我建议使用intecepts请求并检查协议和端口的代码,并在必要时向适当的协议/端口发送302重定向(因为您使用的是Tomcat,这将是response.send重定向())。
在这种情况下,JavaScript重定向(location.replace())可能很诱人,但请记住,您的响应正在被破坏,因此这不是一个选项。(我之所以提到这一点,是因为我几乎在意识到自己之前就提出了它作为一种替代方案!)
-
当我用HTTPS浏览我的网站时,我面临着复杂的内容问题。我从jQuery调用API,但我没有提到协议,所以假设浏览器应该选择与浏览站点相同的协议(http或https)。我的jquery代码如下所示: 在超文本传输协议中浏览站点并执行所需操作以获取结果时,它可以正常工作(能够从API调用中获取结果)。但是当我浏览站点并尝试在https中获取结果时,我在浏览器控制台中遇到了以下错误。即使我使用htt
-
在Event.php中可以直接使用$_SERVER['GATEWAY_PORT']来区分客户端连的是哪个端口。
-
问题内容: protocol BasePresenterProtocol : class {} protocol DashboardPresenterProtocol : BasePresenterProtocol {} 在上面的代码中,我在下一行收到错误 ,但未确认协议,但我已在中声明。虽然我已经宣布 为什么会出现此错误?请让我知道我在这段代码中做错了什么。 问题答案: 您不能使用type 属性
-
我在Go有一个现有项目,我正在使用协议缓冲区/gRPC。直到最近,go\u package选项还是可选的,并且生成的go package名称将与proto package名称相同。 此文件位于项目根目录中。生成的代码文件(authenticator.pb.go)位于同一位置。原型文件: Generation命令指定我要在同一目录中输出: 今天,我推出了新版本的协议缓冲区编译器和github。com
-
以骆驼Quarkus提供的官方例子为起点,我修改了逻辑,以便写信给Kafka经纪人。使用骆驼Kafka组件指向本地经纪人,一切都运行良好。 试图联系我们的Confluent Cloud代理的事情变得稍微复杂一些。我们使用的安全协议是SASL_SSL。下面的代码段将生成此问题末尾添加的日志。为了复制,请在此处找到完整的代码https://github.com/LeonardoBonacci/came
-
问题内容: 我需要从给定的URL中提取完整的协议,域和端口。例如: 问题答案: 首先获取当前地址 然后只需解析该字符串 您的网址是: 希望这可以帮助