Блог

Я могу заблокировать определенный ресурс, используя ограничения безопасности в tomcat. Но он блокирует путь только с использованием точного указанного корпуса. Я все еще могу получить доступ к ресурсу (файлу), просто изменив регистр.

Каков наилучший способ решения этой проблемы?

Tomcat по умолчанию обеспечивает доступ к ресурсам с учетом регистра (даже в файловых системах без учета регистра, таких как Windows), поэтому изменение регистра никогда не должно позволять вам обходить ограничения безопасности. Я могу придумать несколько способов, которыми это может произойти:

1. Вы проигнорировали предупреждение о безопасности в документах и установили для allowLinking значение true в файловой системе без учета регистра.

2. Вы используете обратный прокси-сервер перед Tomcat и настроили его таким образом, чтобы обойти ограничения безопасности (если вы настроили обратный прокси-сервер, нам нужно знать, какой из них и как он был настроен, чтобы помочь в дальнейшем).