开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

拒绝j_security_check上的GET方法

是指在Java Web应用程序中，禁止使用GET方法来访问j_security_check页面。j_security_check是Java EE中用于进行身份验证的标准机制之一。

在Java Web应用程序中，身份验证通常是通过表单提交用户名和密码来实现的。当用户点击登录按钮时，表单数据将被提交到j_security_check页面进行处理。然而，由于GET方法将表单数据附加在URL中，这样的请求会将敏感信息暴露在URL中，存在安全风险。

为了增强安全性，应该使用POST方法来提交表单数据，以确保敏感信息不会被暴露。因此，建议在Java Web应用程序中禁止使用GET方法来访问j_security_check页面。

禁止使用GET方法的具体实现方式可以通过配置web.xml文件来完成。在web.xml文件中，可以使用如下配置来限制j_security_check页面只能通过POST方法访问：

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Restricted Access</web-resource-name>
        <url-pattern>/j_security_check</url-pattern>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint/>
</security-constraint>

上述配置将限制对j_security_check页面的访问只能使用POST方法，其他方法（如GET）将被拒绝。

这样的配置可以提高应用程序的安全性，防止敏感信息泄露。同时，建议开发人员在编写Web应用程序时，遵循安全最佳实践，确保用户的身份验证过程安全可靠。

腾讯云提供了一系列云计算产品，包括云服务器、云数据库、云存储等，可以满足各种应用场景的需求。具体推荐的产品和产品介绍链接地址如下：

云服务器（CVM）：提供弹性计算能力，支持多种操作系统，适用于各种应用场景。了解更多：腾讯云云服务器
云数据库 MySQL 版（CDB）：提供高可用、可扩展的关系型数据库服务，适用于各种在线应用。了解更多：腾讯云云数据库 MySQL 版
云对象存储（COS）：提供安全可靠的海量数据存储服务，适用于图片、音视频、备份等场景。了解更多：腾讯云云对象存储

以上是腾讯云的部分产品推荐，更多产品和详细信息可以访问腾讯云官网进行了解。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

python接口自动化11-post传data参数案例

前言：前面登录博客园的是传json参数，有些登录不是传json的，如jenkins的登录，本篇以jenkins登录为案例，传data参数。一、登录jenkins抓包 1.登录jenkins，

04

python接口自动化（十一）--发送post【data】（详解）

前面登录博客园的是传 json 参数，由于其登录机制的改变没办法演示，然而在工作中有些登录不是传 json 的，如 jenkins 的登录，这里小编就以jenkins 登录为案例，传 data 参数，给各位童鞋详细演练一下。

04

python接口自动化（十四）--session关联接口（详解）

上一篇cookie绕过验证码模拟登录博客园，但这只是第一步，一般登录后，还会有其它的操作，如发帖，评论等等，这时候如何保持会话呢？这里我以jenkins平台为例，给小伙伴们在沙场演练一下。

04

Java Review - 线程池使用FutureTask的小坑

线程池使用FutureTask时如果把拒绝策略设置为 DiscardPolicy和 DiscardOldestPolicy，并且在被拒绝的任务的Future对象上调用了无参get方法，那么调用线程会一直被阻塞。

05

HttpClient工具类

基于restTemplate的httpClient通用工具类。方案 import lombok.extern.slf4j.Slf4j; import org.springframework.http.*; import org.springframework.util.MultiValueMap; import org.springframework.web.client.HttpClientErrorException; import org.springframework.web.client.Re

01

如何把kafka Log4j1.x升级到Log4j2.x ？

在去年2021-12-09左右，那时候log4j 2的远程代码执行漏洞，Java程序员和运维在朋友圈疯狂转发，当初定义的CVE号为：CVE-2021-44228 ，然后影响版本只是Apache Log4j 2.x <= 2.14.1受该漏洞影响，Log4j1.x声明是不受到此漏洞影响范围内的，临时构建出来了2.15.0-rc2防护版本，但是后续不让人消停啊。

03

ThreadLocal 类

ThreadLocal 并不是一个Thread，而是 ThreadLocalVariable(线程局部变量)。也许把它命名为 ThreadLocalVar更加合适。线程局部变量就是为每一个使用该变量的线程都提供一个变量值的副本，是 Java中一种较为特殊的线程绑定机制，是每一个线程都可以独立地改变自己的副本，而不会和其它线程的副本冲突。ThreadLocal是除了加锁这种同步方式之外的另一种保证多线程访问出现线程不安全的方式。

03

ThreadLocal和InheritableThreadLocal深入分析

通过ThreadLocal和InheritableThreadLocal，我们能够很方便的设计出线程安全的类。JDK底层是如何做到的呢？ThreadLocal和InheritableThreadLocal有什么区别呢与联系呢？为什么有了ThreadLocal类还需要InheritableThreadLocal类，他们与Thread类是什么关系？带着这些问题我们来分析他们的源码。

02

安全漏洞公告

1 Check_MK 任意文件上传漏洞 Check_MK 任意文件上传漏洞发布时间：2014-03-26漏洞编号：BUGTRAQ ID: 66394 CVE(CAN) ID: CVE-2014-2331漏洞描述：Check_MK是一款通用的Nagios/Icinga数据采集插件。 Check_MK 1.2.2p2及其他版本在实现上存在任意文件上传漏洞，成功利用后可使远程攻击者向受影响系统上传任意文件。安全建议：目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

07

线程的创建、Lambda函数式接口？Runnable和Callable之间的适配？动态修改线程任务？这里带你图解Java线程池

这里为了便于叙述，毕竟不是本次的重点，我直接上源码，没基础的可以去找些其他资料来补一补

08

HTTP严格安全传输（HTTP Strict Transport Security, HSTS）chromuim实现源码分析（一）

HTTP严格安全传输（HTTP Strict Transport Security, HSTS）chromuim实现源码分析（二） HTTP strict transport security (HSTS) is defined in http://tools.ietf.org/html/ietf-websec-strict-transport-sec HTTP-based dynamic public key pinning (HPKP) is defined in http://tools.ietf.o

06

python接口自动化（十五）--参数关联接口（详解）

我们用自动化新建任务之后，要想接着对这个新建任务操作，那就需要用参数关联了，新建任务之后会有一个任务的Jenkins-Crumb，获取到这个Jenkins-Crumb，就可以通过传这个任务Jenkins-Crumb继续操作这个新建的任务。

04

Istio安全-授权(实操三)

部署Bookinfo。由于下例在策略中使用了principal和namespace，因此需要启用mutual TLS。

03

线程池使用FutureTask时候需要注意的一点事

线程池使用FutureTask的时候如果拒绝策略设置为了 DiscardPolicy和 DiscardOldestPolicy并且在被拒绝的任务的Future对象上调用无参get方法那么调用线程会一直被阻塞。

01

Ambari 自定义服务启动成功后，依旧显示停止状态的解决方案

如果遇到该情况，首先前往 /var/log/ambari-agent/ambari-agent.log 查看日志输出。

03

使用JAVA开发微信公众平台（一）——环境搭建与开发接入

一、初始微信公众平台微信公众平台，即我们平时所说的“公众号”，曾用名“官方平台”、“媒体平台”，但最终命名为“公众平台”。从微信的命名我可以发现，公众平台不只是官方、媒体使用的平台，而是对所有公众

06

常见的 Java 错误及避免方法之第三集（每集10个错误后续持续发布）

这是在代码尝试访问不在值内的数组索引时发生的运行时错误消息。以下代码将触发此异常：

01

认证鉴权与API权限控制在微服务架构中的设计与实现（三）

引言：本文系《认证鉴权与API权限控制在微服务架构中的设计与实现》系列的第三篇，本文重点讲解token以及API级别的鉴权。本文对涉及到的大部分代码进行了分析，欢迎订阅本系列文章。 1. 前文回顾在开始讲解这一篇文章之前，先对之前两篇文章进行回忆下。在第一篇《认证鉴权与API权限控制在微服务架构中的设计与实现（一）》介绍了该项目的背景以及技术调研与最后选型。第二篇《认证鉴权与API权限控制在微服务架构中的设计与实现（二）》画出了简要的登录和校验的流程图，并重点讲解了用户身份的认证与token发放的具体

04

如何在Ubuntu 14.04上使用Iptables实现基本防火墙模板

实施防火墙是保护服务器的重要一步。其中很大一部分是在于对您的网络实施流量限制有决定性作用的个别规则和政策。防火墙iptables也允许您对应用规则的结构框架有发言权。

00

Spring Security权限控制

Spring Security官网： https://projects.spring.io/spring-security/

02

Android 6.0以后的版本报错:open failed: EACCES (Permission denied)

在开发项目中，遇见要进行文件操作，遇见Caused by: android.system.ErrnoException: open failed: EACCES (Permission denied)错误 .

02

SpringBoot异步调用

除了异步请求，一般上我们用的比较多的应该是异步调用。通常在开发过程中，会遇到一个方法是和实际业务无关的，没有紧密性的。比如记录日志信息等业务。这个时候正常就是启一个新线程去做一些业务处理，让主线程异步的执行其他业务。

03

OSPF技术连载9：OSPF TTL 安全检查

OSPF TTL 安全检查是保护OSPF免受远程攻击的一种机制。启用此功能后，OSPF将发送TTL为255的数据包，并拒绝任何TTL小于配置阈值的数据包。默认情况下，一旦启用此功能，它将仅接受TTL为255的数据包。由于路由会将TTL减1，这意味着仅接受来自直接连接设备的OSPF数据包。

03

OSPF技术连载9：OSPF TTL 安全检查

OSPF TTL 安全检查是保护OSPF免受远程攻击的一种机制。启用此功能后，OSPF将发送TTL为255的数据包，并拒绝任何TTL小于配置阈值的数据包。默认情况下，一旦启用此功能，它将仅接受TTL为255的数据包。由于路由会将TTL减1，这意味着仅接受来自直接连接设备的OSPF数据包。

03

HTTP协议学习笔记

DNS(Domain Name System)是位于应用层的协议，负责域名解析服务，DNS通过域名查找IP地址，或逆向从IP地址反向查找域名

02

50个常见的 Java 错误及避免方法（第二部分）

接上文50个常见的 Java 错误及避免方法（第一部分） 17.“Cannot Return a Value From Method Whose Result Type Is Void” 当一个voi

03

spring security3 之 C

Spring Security 和 CAS 交互流程 web用户访问服务公共页面，没有涉及Spring Security和CAS 用户访问一个受保护的页面或页面中使用了一个受保护的bean，Spring Security的ExceptionTranslationFilter 发现异常AccessDeniedException 或AuthenticationException 用户的Authentication 对象（或缺少该对象）触发AuthenticationException，ExceptionTra

01

HTTP系列之协议学习笔记

DNS(Domain Name System)是位于应用层的协议，负责域名解析服务，DNS通过域名查找IP地址，或逆向从IP地址反向查找域名

04

【漏洞通告】Apache Log4j2 远程代码执行漏洞（CVE-2021-44228/CVE-2021-45046）

近日，阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞，并将漏洞情况告知阿帕奇软件基金会。2021年12月10日，阿里云安全团队发现 Apache Log4j 2.15.0-rc1 版本存在漏洞绕过。2021年12月15日，Apache官方发布Log4j 2.16.0 以及 2.12.2 版本，修复CVE-2021-45046 Apache Log4j 拒绝服务与远程代码执行漏洞。

03

解决反序列化的信息泄露问题java_java反序列化漏洞修复方案

大家好，我是架构君，一个会写代码吟诗的架构师。今天说一说解决反序列化的信息泄露问题java_java反序列化漏洞修复方案,希望能够帮助大家进步!!!

05

Ada Logics：CRI-O整体安全审计项目

文章之前由 Ada Logics 安全研究与安全工程 David Korczynski 和安全工程与安全自动化 Adam Korczynski 在 Ada Logics 博客[1]上发表

02

手把手教你用Echidna测试智能合约

参考源码：https://github.com/darrenli6/echidna_example

02

python接口自动化（三十五）-封装与调用--流程类接口关联（详解）

流程相关的接口，主要用 session 关联，如果写成函数（如上篇），s 参数每个函数都要带，每个函数多个参数，这时候封装成类会更方便。在这里我们还是以博客园为例，带着小伙伴们实践一下。

04

web.xml详解

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

04

一个接口优雅的实现 Spring Cloud OAuth2 自定义token返回格式

陈某的《Spring Cloud Alibaba实战项目》视频教程已经录完了，涉及到Alibaba的各种中间件实战，戳这里--->Spring Cloud Alibaba 实战视频专栏开放订阅~

02

Java中的 Threadpoolexecutor类

在之前的文章Java中executors提供的的4种线程池中,学习了一下Executors类中提供的四种线程池.

03

你有没有遇到要实现多种登录方式的场景丫一起来看看咯 Spring Security 实现多种登录方式,如常规方式外的邮件、手机验证码登录

上一篇文章我写了 Security登录详细流程详解有源码有分析。掌握这个登录流程，我们才能更好的做Security的定制操作。

02

springboot项目里面，发送http请求的get方法，post方法，ssl方法的工具类

A 项目要调用B项目一共接口，远程调用，有的B接口是post请求，有的是get请求，所以写一个工具类，只需要传url 和参数就可以了

03

网络设计中的网络安全有哪些？如何配置？

今天给大家聊一下日常网络设计中需要注意的以太网安全，以太网主要是由交换机组成，要保证以太网的安全就需要在交换机上做必要的安全措施，这些措施包含（但不仅限于）：接口安全、防DHCP欺骗、ARP安全、防IP源欺骗；

02

java(优化20) httpClient简介

HttpClient 是 Apache Jakarta Common 下的子项目，可以用来提供高效的、最新的、功能丰富的支持 HTTP 协议的客户端编程工具包，并且它支持 HTTP 协议最新的版本和建议。HttpClient 已应用在很多的项目中，比如 Apache Jakarta 上很著名的另外两个开源项目 Cactus 和 HTMLUnit 都使用了 HttpClient。现在HttpClient最新版本为 HttpClient 4.3 （GA）。

03

SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作

点击上方“芋道源码”，选择“设为星标” 管她前浪，还是后浪？能浪的浪，才是好浪！每天 10:33 更新文章，每天掉亿点点头发... 源码精品专栏原创 | Java 2021 超神之路，很肝~ 中文详细注释的开源项目 RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 Elastic-Job 源码解析分布式事务中间件 TCC-Transaction

02

spring安全框架Security（二）转

首先是<security:authentication-manager>是指定我们自定义的身份验证策略，这里我们用customUserDetailsService这个bean，就是指向我们CustomUserDetailsService.java这个类。然后<security:password-encoder>指定我们密码使用MD5进行编码，调用Spring Security自带的MD5加密类。当然，还有加盐MD5或我们自己写的加密算法等安全性更加高的密码策略。这个按项目实际使用配置吧。

03

修不完的bug：Log4j第三次发布漏洞补丁，开源社区已修复1/7受影响Java包

几乎影响整个互联网（Adobe、阿里、Amazon、GitHub、IBM、Intel、微软、腾讯、百度等）的Log4j漏洞的修补工作仍在继续。

07

检验数据库中是否有特定记录的最简单方法

String sqlconn = "Data Source=wei//SQLEXPRESS;Initial Catalog=HISDB;Integrated Security=True"; SqlConnection weida = new SqlConnection(sqlconn); weida.Open(); //********************* string sql = "SELECT tkdh FROM tkxx WHERE checked = 'True' AND tkdh='" + ckdh + "'"; SqlCommand check1 = new SqlCommand(sql, weida);

01

Java源码之ThreadPoolExecutor

“ ThreadPoolExecutor类是线程池的基础，线程池的目的是为了减少了每个任务调用的开销，在拥有大量异步任务时可以增强的性能，并且还可以提供绑定和管理资源的方法”

03

APP 安全测试（OWASP Mobile Top 10）–后篇之一

OWASP Mobile Top 10 相对于Web的OWASP Top 10来说，个人觉得描述的相对简单多，并且安全测试的时候的可操作性也不是太强。本来打算个人整体捋一遍的，但因为项目时间的问题，前面四个章节安排给了别人去负责，我只负责后面的六章（所以标题写了后篇）。下面我把个人的测试方法简单叙述一下。下面可能有些测试点不全或者有瑕疵，欢迎纠错。。。。

02

白话Elasticsearch70-ES生产集群部署之production mode下启动时的bootstrap check

https://www.elastic.co/guide/en/elasticsearch/reference/current/bootstrap-checks.html

02

线程池-从零到一了解并掌握线程池

注意：这里主要是考察你实际到底用没用过。真正使用过的一定会说这些创建方式的优缺点。！！！不建议使用Executors创建线程：

01

身份认证系统 JOSSO Single Sign-On 1.2 简介

背景知识：身份认证系统包括：目录服务，验证和授权服务，证书服务，单点登陆服务，系统管理等模块。 JOSSO 是一个纯Java基于J2EE的单点登陆验证框架，主要用来提供集中式的平台无关的用户验证。 JOSSO 主要特色: 1 100% Java,使用了 JAAS,WEB Services/SOAP,EJB, Struts, Servlet/JSP 标准技术； 2 基于JAAS的横跨多个应用程序和主机的单点登陆； 3 可插拔的设计框架允许实现多种验证规则和存储方案； 4 可以使用servlet和ejb Security API 提供针对web应用，ejb 的身份认证服务； 5 支持X.509 客户端证书的强验证模式； 6 使用反向代理模块可以创建多层的单点登陆认证，并且使用多种策略可在每层配置不同的验证模式； 7 支持数据库，LDAP ，XML等多种方式的存储用户信息和证书服务； 8 客户端提供php，asp 的API； 9 目前 JBoss 3.2.6 和 Jakarta Tomcat 5.0.27 以上版本支持。 10 基于BSD License。 JOSSO 主页点评： 1、目前还没有提供.NET的客户端API，可能因为.net框架本身就有了很好的验证机制吧，但是单点登陆还是很有必要的特别是对于大型网站来说，更需要统一的用户登录管理。 2、不知道是否以后的版本会支持活动目录 AD。相关名词： SAML：Security Assertion Markup Language

03

Python自动化运维之iptables和安全概述

1 安全知识体系 1.1 安全概述【了解】 1.1.1 安全现状 1.1.2 安全体系底层硬件买质量合格的设备基础环境版本合适，基本系统优化应用环境软件版本、配置参数、等业务环境项目和软件之间的配置、部门间的规范执行运营维护功能迭代方案、网站维护 1.1.3 安全措施 1.2 防火墙基础【了解】 1.2.1 防火墙简介分类：功能：主机、网络实现：软件、硬件细节：包过滤、应用网关、应用状态、复合型

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭