web.xml 的 和 解释

web.xml 原来也是能够 配置 一点安全控制： 项目加入了 下面的配置，表示 有点看不懂

<!-- 关闭不安全的HTTP方法 -->
	<security-constraint>
		<web-resource-collection>
			<web-resource-name>filter-http-method</web-resource-name>
			<url-pattern>/*</url-pattern>
			<http-method>OPTIONS</http-method>
		</web-resource-collection>
		<auth-constraint></auth-constraint>
	</security-constraint>
	
	<login-config>
		<auth-method>BASIC</auth-method>
	</login-config> 

在网上找的，比较详细

 WebDAV （Web-based Distributed Authoring and Versioning） 一种基于 HTTP 1.1协议的通讯协议.它扩展了HTTP 1.1，在GET、POST、HEAD等几个HTTP标准方法之外添加了一些新的方法，使应用程序可直接对Web Server直接读写，并支持写文件锁定(Locking)及解锁(Unlock)，还能够支持文件的版本控制。

      HTTP/1.1协议中共定义了八种方法（有时也叫“动做”）来代表Request-URI指定的资源的不一样操做方式：

　　OPTIONS 返回服务器针对特定资源所支持的HTTP请求方法。也能够利用向Web服务器发送'*'的请求来测试服务器的功能性。　

　　HEAD 向服务器索要与GET请求相一致的响应，只不过响应体将不会被返回。这一方法能够在没必要传输整个响应内容的状况下，就能够获取包含在响应消息头中的元信息。　

　　GET 向特定的资源发出请求。注意：GET方法不该当被用于产生“反作用”的操做中，例如在web app.中。其中一个缘由是GET可能会被网络蜘蛛等随意访问。　

　　POST 向指定资源提交数据进行处理请求（例如提交表单或者上传文件）。数据被包含在请求体中。POST请求可能会致使新的资源的创建和/或已有资源的修改。　

　　PUT 向指定资源位置上传其最新内容。　

　　DELETE 请求服务器删除Request-URI所标识的资源。　

　　TRACE 回显服务器收到的请求，主要用于测试或诊断。　

　　CONNECT HTTP/1.1协议中预留给可以将链接改成管道方式的代理服务器。　

　　方法名称是区分大小写的。当某个请求所针对的资源不支持对应的请求方法的时候，服务器应当返回状态码405（Method Not Allowed）；当服务器不认识或者不支持对应的请求方法的时候，应当返回状态码501（Not Implemented）。　

　　HTTP服务器至少应该实现GET和HEAD方法，其余方法都是可选的。固然，全部的方法支持的实现都应当符合下述的方法各自的语义定义。此外，除了上述方法，特定的HTTP服务器还可以扩展自定义的方法。

     http的访问中，通常经常使用的两个方法是：GET和POST。其实主要是针对DELETE等方法的禁用。有两种方式：


当访问服务器中受保护的资源时，容器管理的验证方法能够控制确认用户身份的方式。Tomcat支持四种容器管理的安全防御，它们是：

BASIC(基本验证)：经过HTTP验证，须要提供base64编码文本的用户口令
DIGEST(摘要验证)：经过HTTP验证，须要提供摘要编码字符串的用户口令
FORM(表单验证)：在网页的表单上要求提供密码
CLIENT-CERT(客户端证书验证)：以客户端证书来确认用户的身份

http://www.importnew.com/20241.html

http://blog.csdn.net/liushu_it/article/details/47123209