今天突然发现struts2零配置的一个问题,就是比如我有个文件在WEB-INF/content/content.jsp 然后我可以通过输入localhost:8080/项目名/content可以直接访问到这个jsp页面,这样不是很不安全吗?有什么配置可以关掉这种直接访问WEB-INF下资源文件的方式?
第一种方式是将所有的jsp页面都放入到web-inf目录下,然后在action的配置中将forward指向目录为/web-inf/jsp...这样就可以了。还有一种方式是在定义一个filter,根据请求路径进行判断,如果是直接访问jsp则返回到拒绝页面,否则继续执行下去就可以了。
localhost:8080/项目名/content 这样访问是通过后台处理的
你可以加入相应的权限的
总比你放置在webroot下面直接通过localhost:8080/项目名/content.jsp访问安全多了
或者你可以通过重写url
localhost:8080/项目名/content 这样访问是通过后台处理的
你可以加入相应的权限的
总比你放置在webroot下面直接通过localhost:8080/项目名/content.jsp访问安全多了
或者你可以通过重写url :cry: