系统是apache+tomcat,安全检查时发现服务器存在安全问题,apache和tomcat都可以访问WEB-INF中的文件,可以通过浏览器直接下载WEB.xml等文件。这个目录还存在数据库密码和spring、struts等很多重要的文件,这些文件tomcat肯定需要读权限的,想请教一下如何才能防止这些文件被用户直接下载?tomcat为什么不保护自己的配置文件防止被下载?
https://www.baidu.com/link?url=5NU_OzMHJyHu3FvneXEQKlkS9KdUlXe9J0dorxs25Lek1WDR1V2ZdFu7oVdpIhV-VZhbC1VKEY2ZoibfFCuZsa&wd=&eqid=a8c780a500061db900000005581e018d