在已部署的java war文件之外配置文件是否安全?

时间:2011-05-20 18:11:17

标签: java configuration war

具体而言,将文件放在外面是否或多或少安全?

这假设您将配置文件放在(Web服务器的)根目录中。并且对应用的文件只有标准限制(没有特殊的锁定工具)。

2 个答案:

答案 0 :(得分:5)

取决于将配置文件放在WAR中的位置。如果将它放在WEB-INF或META-INF中,您将无法路由到这些文件。

/app/WEB-INF/web.xml提供HTTP 404。

除非有某些其他漏洞允许某人访问服务器上的文件,否则我会说它在WAR中的正确位置然后在WAR文件之外不再安全。

答案 1 :(得分:1)

是的,它可以是安全的,但我不会使用Web服务器的根目录。

通常,Web服务器配置为以其自己的用户身份运行(例如,Linux上的tomcat以用户tomcat身份运行)。因此,如果文件只能由tomcat读取,则只有Web服务器才能访问它。

您可以在tomcat的conf目录中使用Context.xml直接在应用程序上下文中注入设置,或者在那里添加指向文件位置的属性。这样就不需要修复位置了。