我正在考虑扩展我的基于JSP的WEB站点,并选择使用动态用户加载的第三方标记库来自定义它。我的问题是在我的WEB服务器中保护它的可能方法是什么,即不要让它做一些事情,比如从本地文件系统中获取密码并将其发送到互联网上。
对此有一些或多或少的标准方法吗?
我知道这可以由客户SecurityManager完成(前提是我从头开始实现了我的WEB服务器:)),但我不知道将安全管理器插入现有WEB服务器引擎的方法是什么 - 例如Tomcat。
答案 0 :(得分:0)
Tomcat支持使用安全管理器。只需在启动时使用-security命令行选项激活它,并在catalina.policy中定义安全策略。