我可以使用tomcat中的安全约束来锁定特定资源。但它只使用指定的确切外壳锁定路径。我仍然可以通过更改大小写来访问资源(文件)。
处理这个问题的最佳方法是什么?
答案 0 :(得分:0)
默认情况下,Tomcat强制执行区分大小写的访问(即使在不区分大小写的文件系统(如Windows)上),因此更改大小写应该永远不会允许您绕过安全约束。我可以想到这可能发生的几种方式:
您忽略了文档中的安全警告,并在不区分大小写的文件系统上将allowLinking设置为true。
您正在Tomcat前面使用反向代理,并以绕过安全约束的方式进行配置(如果您配置了反向代理,我们需要知道哪一个以及如何配置进一步帮助。)