まずは背景――
Tomcat で JSF 1.1.14 Web プロジェクトを実行しています。
Tomcat は HTTPS で同じものをホストしています (SSL は既に構成されており、正常に動作しています)
上記の 2. を実装するために、web-app の web.xml に以下の構成があります –
<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Starts ======= -->
<security-constraint>
<web-resource-collection>
<web-resource-name>URL reserved for Acquisition application</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Ends ======== -->
上記は、Tomcat の業界標準のアプローチだと思います。
問題は、Web アプリ経由の *.xhtml アクセスを無効にし、Web アプリ全体で引き続き HTTPS を使用する必要があることです。
理想的な環境では、これは以下のスニペットを使用して簡単に実現できます...これも web.xml ファイルに含まれています –
<!-- ======= Direct .xhtml access constraint - Starts ======= -->
<security-constraint>
<display-name>Restrict direct access to XHTML files</display-name>
<web-resource-collection>
<web-resource-name>XHTML files</web-resource-name>
<url-pattern>*.xhtml</url-pattern>
</web-resource-collection>
<auth-constraint />
</security-constraint>
<!-- ======= Direct .xhtml access constraint - Ends ======= -->
問題は、上記を使用した後でも、web-app URL を使用して *.xhtml ファイルのソースを表示できることです。
HTTPS セキュリティ制約が取り除かれると、状況は完璧になります。私の直感では、HTTPS セキュリティの制約がファイル アクセスの制約よりも優先されています。
私は高低を検索しましたが、これらの両方を牽引して機能するものをまだ見つけていません.
HTTPS Web アプリでファイル アクセスを無効にする方法を見つけてください。
ありがとう。
クフラナ