Tomcat错误403 the request body was too large to be cashed during authentication process
它与maxSavePostSize设置当前默认值4096(4KB)有关。在谷歌搜索中,建议输入-1(不受限制)。这是否意味着它可能会受到DOS攻击?你有什么建议?

最佳答案

在不受信任的用户可以访问的Tomcat实例上将maxSavePostSize设置为-1将是一件非常愚蠢的事情,因为-正如您正确怀疑的那样-它将使服务器容易受到DoS攻击。

仅当身份验证期间需要保存POST的内容时,才使用此设置。即,当未经身份验证的用户POST发出对受FORM或CLIENT-CERT身份验证保护的资源的请求时。

有两种解决方案:
a)构建应用程序的方式应使用户始终能够通过身份验证,然后才能访问触发POST的页面
b)将maxSavePostSize增加到您希望应用程序必须处理的最大POST。如果它比4k大得多,那么您可能仍然容易受到DoS攻击。

顺便说一句,请确保您不要将此设置与maxPostSize混淆。

10-07 16:40