我遇到了 tomcat 8.5 应用程序 WEB-INF 内容的安全问题。我不认为能够通过 url 访问 WEB-INF(即 web.xml)的内容,但我似乎可以访问。我如何限制这种访问?我认为应该限制开箱即用。我正在使用 linux,用户权限为 rw,组权限为 r。
如有任何建议,我们将不胜感激。
最佳答案
通常,/WEB-INF 下的文件不能从外部直接访问。如果文件可以访问,则您的应用程序存在漏洞,例如路径遍历。例如,一个简单的解决方案是在 Tomcat 前面限制 Apache 对包括 WEB-INF 在内的 URL 的访问。
关于java - Tomcat 8.5 WEB-INF 内容可访问 URL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/43238860/