具体而言,将文件放在外面是否或多或少安全?
这假设您将配置文件放在(Web服务器的)根目录中。并且对应用的文件只有标准限制(没有特殊的锁定工具)。
答案 0 :(得分:5)
取决于将配置文件放在WAR中的位置。如果将它放在WEB-INF或META-INF中,您将无法路由到这些文件。
/app/WEB-INF/web.xml提供HTTP 404。
除非有某些其他漏洞允许某人访问服务器上的文件,否则我会说它在WAR中的正确位置然后在WAR文件之外不再安全。
答案 1 :(得分:1)
是的,它可以是安全的,但我不会使用Web服务器的根目录。
通常,Web服务器配置为以其自己的用户身份运行(例如,Linux上的tomcat以用户tomcat身份运行)。因此,如果文件只能由tomcat读取,则只有Web服务器才能访问它。
您可以在tomcat的conf目录中使用Context.xml直接在应用程序上下文中注入设置,或者在那里添加指向文件位置的属性。这样就不需要修复位置了。