关于解决不安全的HTTP方法的验证方案

最近产品要进行安全漏洞检查，发现安全的HTTP方法的验证方案。通过网上找了一些方案，我总结有两种：

一、通过pound前置机来解决，我通过网上的方案验证没有通过（原因没有详查），方案可《http://bbs.csdn.net/topics/390159756》

二、通过修改web.xml解决，但是根据网上的方案进行配置，但是问题没有解决掉。最后无奈我重置了所有的配置文件，一步一步的文件迭代调测，最后解决掉了。

最后终结网上的方案是没有问题的，只有有几个非常重要的关键点要注意，否则会失败，我使用的方案和步骤如下：

一、修改自己的应用服务中的conf下的web.xml 配置文件：
    第一步：修改web-app协议（协议必须要修改，另外与需要修改的配置进行比对，包含版本号全部修改成如下方式）
     Xml代码     
     <?xml version="1.0" encoding="UTF-8"?>     
     <web-app xmlns="http://java.sun.com/xml/ns/j2ee"     
                      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     
                      xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"     
                      version="2.4">  
  
    第二部：修改自己的应用服务中的conf下的web.xml 配置文件添加如下的代码
    <security-constraint>     
    <web-resource-collection>     

        <web-resource-name>test</web-resource-name>   

       <url-pattern>/*</url-pattern>

       <http-method>PUT</http-method>     

       <http-method>DELETE</http-method>     
       <http-method>HEAD</http-method>     
       <http-method>OPTIONS</http-method>     
       <http-method>TRACE</http-method>
       </web-resource-collection>     
       <auth-constraint> </auth-constraint>     
    </security-constraint>     
    <login-config>     
        <auth-method>BASIC</auth-method>     
    </login-config>  
 
二、修改tomcat中自身conf下的web.xml  方法与一、修改自己的应用服务中的conf下的web.xml 配置文件的方案一致。（此步骤必须要进行）
 
 
三、关于关注、

1、一般安全扫描的处理方案，应用程序的web.xml与tomcat的web.xml都要同时修改

 2、协议一定要修改（尽量保持按2.4的版本，即version="2.4"）