O script está enviando uma solicitação OPTIONS
e relatando os resultados. Isso relata quais métodos o software do servidor suporta. Sua configuração de segurança não está mudando os métodos que o Tomcat entende; Ele está adicionando uma restrição de segurança de que esses métodos são permitidos apenas para usuários que atendem à condição auth-constraint
, que, nesse caso, não contém usuários. Então, o Tomcat está sendo sincero: ele compreende PUT
e DELETE
, mesmo que ninguém tenha permissão para usá-los.
Se você quiser mais confirmação, você pode adicionar --script-args http-methods.retest
ao seu comando. Isso instruirá o script a enviar uma solicitação com cada um dos métodos descobertos e informar o código de status da resposta. Mas tenha cuidado: isso irá resultar no envio de solicitações como DELETE /
, o que pode ser prejudicial.