#tomcat
#tomcat
Вопрос:
Я могу заблокировать определенный ресурс, используя ограничения безопасности в tomcat. Но он блокирует путь только с использованием точного указанного корпуса. Я все еще могу получить доступ к ресурсу (файлу), просто изменив регистр.
Каков наилучший способ решения этой проблемы?
Ответ №1:
Tomcat по умолчанию обеспечивает доступ к ресурсам с учетом регистра (даже в файловых системах без учета регистра, таких как Windows), поэтому изменение регистра никогда не должно позволять вам обходить ограничения безопасности. Я могу придумать несколько способов, которыми это может произойти:
-
Вы проигнорировали предупреждение о безопасности в документах и установили для allowLinking значение true в файловой системе без учета регистра.
-
Вы используете обратный прокси-сервер перед Tomcat и настроили его таким образом, чтобы обойти ограничения безопасности (если вы настроили обратный прокси-сервер, нам нужно знать, какой из них и как он был настроен, чтобы помочь в дальнейшем).