一个B/S系统进行安全测评，返回结果要求禁用一些不常用的HTTP方法（PUT、DELTETE、OPTIONS等），按照网上的方法，在应用的web.xml的最后添加如下代码：

    
        /*
        PUT
        DELETE
        HEAD
        OPTIONS
        TRACE
    
    


    BASIC

上面的几个HTTP方法有效被禁用，但请求会跳转到tomcat的403页面，如下图：

按照测试要求，上图红色部分暴露的tomcat的版本，应该自定义403页面以屏蔽版本，于是在上面的安全配置后添加如下代码：

    404
    /sys/404.html


    403
    /sys/403.html

结果是。。。。。。。。。。根本没用，并且HTTP的限制也不起作用了。
试了一番，发现404，500等error-code都正常，并且与HTTP限制不冲突。
只要加上403，HTTP方法就限制不了，并且也不会跳转到自定义的403.html。

完整web.xml如下：

    
    BISMFramework
    
        index.html
    

    
    

    
    
        -1
    
    

    
    
        springmvc
        org.springframework.web.servlet.DispatcherServlet
        
            contextConfigLocation
            classpath:spring-mvc.xml
        
        1
    
    
        springmvc
        /
    

    
    
        encodingFilter
        org.springframework.web.filter.CharacterEncodingFilter
        
            encoding
            utf-8
        
    
    
        encodingFilter
        /
    
    

    
    
        org.springframework.web.context.ContextLoaderListener
    

    
    
        contextConfigLocation
        classpath:applicationContext.xml
    
    
    
    
        
            /*
            PUT
            DELETE
            HEAD
            OPTIONS
            TRACE
        
        
    
    
        BASIC
    
    
    
        404
        /sys/404.html
    
    
        403
        /sys/403.html