J'ai mis ce qui suit dans le web.xml de mon application pour tenter de refuser PUT, DELETE, etc.:
<security-constraint>
<web-resource-collection>
<web-resource-name>restricted methods</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>DELETE</http-method>
<http-method>PUT</http-method>
<http-method>SEARCH</http-method>
<http-method>COPY</http-method>
<http-method>MOVE</http-method>
<http-method>PROPFIND</http-method>
<http-method>PROPPATCH</http-method>
<http-method>MKCOL</http-method>
<http-method>LOCK</http-method>
<http-method>UNLOCK</http-method>
<http-method>delete</http-method>
<http-method>put</http-method>
<http-method>search</http-method>
<http-method>copy</http-method>
<http-method>move</http-method>
<http-method>propfind</http-method>
<http-method>proppatch</http-method>
<http-method>mkcol</http-method>
<http-method>lock</http-method>
<http-method>unlock</http-method>
</web-resource-collection>
<auth-constraint />
</security-constraint>
Ok, alors maintenant:
Si je fais une demande avec la méthode de DELETE
je reçois un 403.
Si je fais une demande avec la méthode de delete
je reçois un 403.
MAIS
Si je fais une demande avec la méthode de DeLeTe
j'obtiens OK!
Comment puis-je faire en sorte qu'ils ne respectent pas la casse?
Edit: je le teste avec un programme C #:
private void button1_Click(object sender, EventArgs e)
{
textBox1.Text = "making request";
System.Threading.Thread.Sleep(400);
WebRequest req = WebRequest.Create("http://serverurl/Application/cache_test.jsp");
req.Method = txtMethod.Text;
try
{
HttpWebResponse resp = (HttpWebResponse)req.GetResponse();
textBox1.Text = "Status: " + resp.StatusCode;
if (resp.StatusCode == System.Net.HttpStatusCode.OK)
{
WebHeaderCollection header = resp.Headers;
using (System.IO.StreamReader reader = new System.IO.StreamReader(resp.GetResponseStream(), ASCIIEncoding.ASCII))
{
//string responseText = reader.ReadToEnd();
textBox1.Text += "\r\n" + reader.ReadToEnd();
}
}
}
catch (Exception ex)
{
textBox1.Text = ex.Message;
}
}
txtMethod.Text
est une zone de texte où je tape le nom de la méthode. Lorsqu'il y a un 403, une exception est levée qui est interceptée dans le bloc catch.
Le cache_test.jsp contient:
<%
response.setHeader("Cache-Control", "no-store, no-cache, must-revalidate, post-check=0, pre-check=0");
response.setHeader("Pragma","no-cache");
out.print("Method used was: "+request.getMethod());
%>
HttpWebRequest
sera insensible à la casse reconnaître et convertir des méthodes HTTP standard en majuscules. De plus, il est documenté comme n'autorisant que les méthodes HTTP standard. La meilleure option consiste à utiliser un flux TCP brut (par exemple dans netcat, ou PuTTY raw, ou telnet, etc.).