1

たとえば、ディレクトリ構造は次のとおりです (Tomcat appBase は /home/user/webapps/ です)。

/home/user/webapps/index.jsp
/home/user/webapps/file/
/home/user/webapps/upload/

Tomcat が file/- と upload/- で jsps を実行するのをブロックすることは可能ですか?

たとえば、ファイルは /file/ ディレクトリにアップロードされています。

http://mysite.com/file/test.jsp (not OK, jsp won't be executed)
http://mysite.com/file/test.png (OK)

catalina.policy と WEB-INF/web.xml セキュリティ制約を確認して試しましたが、無駄でした。

アップロード サーブレットで不正なファイル タイプをブロックしましたが、誰かが他の手段 (FTP など) で jsp ファイルをアップロードする可能性があるため、この質問を念頭に置いています。

事前にどうもありがとうございました。

4

1 に答える 1

1

指定したパスを見ると、Web アプリケーションが期待される webapps ディレクトリの直下に jsp ファイルを配置しているようです。

jsp ファイルはアプリケーションの一部ではありませんか?

URL を使用してブラウザーから直接アクセスできないように、すべての JSP ファイルを制限する場合は、すべての JSP と保護したいものをWEB-INFフォルダーに入れることができます。に配置されたリソースにWEB-INF直接アクセスすることはできません。

適用する場合はsecurity-constraint、URL パターンに基づいてリソースを保護することもできます。ここで良い情報を見つけることができます http://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html

于 2013-06-18T06:56:23.090 に答える