我正在尝试将 Apache Tomcat 的 [6.0.35] 跨站点防护过滤器引入现有的 Web 应用程序。
我已经通过添加 and 标记修改了 web.xml,并且我可以使用 mapping 使应用程序按预期进行部署和运行<url-pattern>*.jsp</url-pattern>
。
但是,如果我使用<url-pattern>/*</url-pattern>
or的映射<servlet-name>foo</servlet-name>
,过滤器显然对映射的请求是活动的,但它拒绝对初始化入口点以外的任何资源的请求,即使当前 nonce 在 request 中传递也是如此。即响应是403/禁止。
建议任何人?