La restricción de seguridad de la lista blanca en web.xml

Estoy usando Tomcat para mi aplicación Struts2. El web.xml tiene ciertas entradas como se muestra a continuación:

   restricted methods /* PUT DELETE TRACE      no_access /jsp/*      no_access /myrrunner/*    

¿Cómo puedo cambiar las partes de la lista negra para usar solo la lista blanca? Por ejemplo, en lugar de DELTE lista negra los métodos PUT , DELTE http, necesito incluir otros métodos en la lista blanca, pero no estoy seguro de la syntax de la lista blanca y los métodos para incluirlos en la lista blanca. .

Para mi fragmento web.xml anterior, apreciaré si alguien puede proporcionarme una contraparte whitelisitng para el xml anterior.

EDITAR: Además, ¿cómo podría realmente verificar si la solución funciona o no?

Gracias

Intentaría lo siguiente:

   /* GET POST      restricted methods /*    

La primera security-constraint no tiene ninguna auth-constraint , por lo que los métodos GET y POST están disponibles para cualquiera sin iniciar sesión. El segundo restringe otros métodos http para todos. (No lo he probado)

Nueva característica de Java EE 6 que simplifica la configuración de seguridad de las aplicaciones. Ahora puede incluir en la lista blanca los métodos HTTP permitidos de la lista negra en su web.xml:

   Disable unneeded HTTP methods by 403 Forbidden them * GET HEAD POST    

Referencia: https://blogs.oracle.com/nithya/entry/new_security_features_in_glassfish

Un ligero ajuste a la respuesta aceptada (establecer el url-pattern en la segunda security-constraint para mapear al servlet predeterminado "/" ) funciona para JBoss y Weblogic pero no para Websphere:

   Allowed methods /* GET POST      Restricted methods /    

Con la configuración de restricciones de seguridad anterior, no estoy seguro de por qué Websphere permite todos los métodos HTTP, mientras que JBoss y Weblogic solo permiten GET y POST .