对于instanace,这里是目录结构(Tomcat appBase是/ home / user / webapps /):
/home/user/webapps/index.jsp
/home/user/webapps/file/
/home/user/webapps/upload/
是否可以阻止Tomcat在文件/中运行jsps并上传/ - ?
例如,文件已上传到/ file /目录:
http://mysite.com/file/test.jsp (not OK, jsp won't be executed)
http://mysite.com/file/test.png (OK)
我已经检查并尝试了catalina.policy和WEB-INF / web.xml安全约束,但是徒劳无功。
我已经阻止了上传servlet中的非法文件类型,但我记住了这个问题,因为有人可能通过其他方式(如FTP)上传jsp文件。
非常感谢你。
答案 0 :(得分:1)
通过查看您提供的路径,您似乎将jsp文件直接放在需要Web应用程序的webapps目录下。
您的jsp文件不是应用程序的一部分吗?
如果您希望限制所有JSP文件,以便不能使用url直接从浏览器访问它们,那么您可以将所有JSP和您想要保护的任何内容放在WEB-INF文件夹中。无法直接访问WEB-INF中放置的资源。
如果您想应用security-constraint,那么您也可以根据网址格式保护资源。
你会在这里找到很好的信息
http://docs.oracle.com/cd/E19798-01/821-1841/bncbk/index.html