我的(客户)机器上有一个多 Tomcat 设置。这是 Spring Hibernate 设置。它是由其他一直在管理它的供应商移交给我的客户的。
服务器内有一些设置(我缺少)导致 WEB-INF 下的文件可以公开访问。无论是 context-datasource.xml、dispatcher-servlet.xml 还是 web.xml,所有文件都可以通过浏览器轻松访问。
为了解决这个问题,我们提供了一个代码片段,它将对任何类型的用户直接访问“WEB-INF”文件夹层次结构下的任何资源进行全面限制。代码如下:
<SecurityConstraint>
<web-resource-collection>
<web-resource-name>Restrict WEB-INF resources</web-resource-name>
<url-pattern>/WEB-INF/*</url-pattern>
</web-resource-collection>
<auth-constraint/>
</SecurityConstraint>
我们将此设置放在 Tomcat 的 conf/context.xml、conf/web.xml 和 /web.xml 中
没用。
不幸的是,经过一番劝说,我仔细阅读了客户分享的文档后,我了解到设置如下:
[ Apache Httpd ] => mod_jk => [ Tomcat ]
我们之前诊断问题时无法获得此设置和详细信息。
该文件夹是从 Apache Httpd 访问的。我们必须将规则放入 .htaccess 文件中以限制浏览器访问。
我希望这对正在寻找类似设置并面临类似问题的人有所帮助。