1

例如,这里是目录结构(Tomcat appBase 是 /home/user/webapps/):

/home/user/webapps/index.jsp
/home/user/webapps/file/
/home/user/webapps/upload/

是否可以阻止Tomcat在文件/-和上传/-中运行jsps?

例如,文件已上传到 /file/ 目录:

http://mysite.com/file/test.jsp (not OK, jsp won't be executed)
http://mysite.com/file/test.png (OK)

我已经检查并尝试了 catalina.policy 和 WEB-INF/web.xml 安全约束,但徒劳无功。

我已经在我的上传 servlet 中阻止了非法文件类型,但我有这个问题,因为有人可能会通过其他方式(如 FTP)上传 jsp 文件。

非常感谢您提前。

4

1 回答 1

1

通过查看您提供的路径,您似乎将一个 jsp 文件直接放在 webapps 目录下,该目录需要一个 Web 应用程序。

你的jsp文件不是应用程序的一部分吗?

如果您希望限制所有 JSP 文件以使它们无法通过 url 直接从浏览器访问,那么您可以将所有 JSP 以及您想要保护的任何内容放在WEB-INF文件夹中。放入的资源WEB-INF不能直接访问。

如果您想申请,security-constraint那么您也可以根据 url 模式保护您的资源。你会在这里找到很好的信息 http://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html

于 2013-06-18T06:56:23.090 回答