想知道这是否会带来潜在的安全风险。我有一个java servlet Web应用程序,在每个页面的底部,我生成一个“报告页面问题”链接,其中包括原始URL请求以及请求转发到的JSP的路径。事情是JSP页面有时在WEB-INF文件夹中。这是一个潜在的安全风险吗?我可能正在展示WEB-INF的内容吗?
可能会显示请求已转发到
/WEB-INF/views/user/ViewUser.jsp for example.
答案 0 :(得分:4)
您可以在打印路径时删除部分路径,但我不明白为什么用户需要知道请求转发到哪个jsp。否则它不是一个很大的问题,因为Servlet容器不会提供WEB-INF中的任何内容。通过将JSP放在那里,可以防止任何人通过名称在浏览器中导航到JSP来直接访问JSP。