我在 Windows 服务器上使用 WildFly 8.1.0.Final (JBoss),并且在其根目录下部署了一个带有单个 HTML 文件的 WAR ("test.war")。
现在,使用 CURL 我可以读取文件系统上的任何文件:
curl http://localhost/test/..\\..\\..\\..\\..\\..\\..\\..\\..\\..\\Windows\\win.ini
请注意,访问远程主机时也会发生这种情况。另请注意,“..\”的数量可能取决于 Wildfly 的部署位置。
显然这是不希望的......
所以我试图通过显式禁用目录列表来解决这个问题,即使默认情况下禁用列表并且我使用“curl”不会浏览任何目录。这没有帮助。
尽管我无法证明这一点,但感觉就像是 Undertow 中的一个错误。
任何帮助将不胜感激。谢谢。