私の Web サイトのユーザーに、JAR ファイル内で提供されるいくつかの静的リソースへのアクセスを提供したいと考えています。
ユーザーがアクセスできる必要があるすべてのファイルのリストを提供することはできませんが、それらがすべて JAR のサブディレクトリ内に含まれていることを確認できます。
public-access/file-1
public-access/file-2
public-access/sub-dir/file-3
ファイルは次の方法でアクセスされます。
this.getClass().getResource("/public-access/" + requestedFile);
パス トラバーサル攻撃を防ぐための推奨される方法はありますか? ../secret
これは、悪意のあるユーザーが、eg というファイルを要求するのを防ぐためです。sub-dir/../../secret