Security Tomcat安全约束-禁用HTTPS web应用上的文件访问
首先是背景——Security Tomcat安全约束-禁用HTTPS web应用上的文件访问,security,tomcat,https,constraints,Security,Tomcat,Https,Constraints,首先是背景—— 我在Tomcat中有一个正在运行的JSF1.1.14 web项目 Tomcat在HTTPS上承载相同的数据(SSL已经配置好并且运行良好) 实施2。上面,我们在web应用程序的web.xml中有以下配置- <!-- ======= TRANSPORT GUARANTEE CONSTRAINT Starts ======= --> <security-constraint> <web-resource-collection> <web-re
<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Starts ======= -->
<security-constraint>
<web-resource-collection>
<web-resource-name>URL reserved for Acquisition application</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Ends ======== -->
为采集应用程序保留的URL
/*
邮递
得到
保密的
以上,我相信是Tomcat的行业标准方法
问题是我们需要通过web应用禁用*.xhtml访问,并继续对整个web应用使用HTTPS
在理想的环境中,使用下面的代码片段很容易做到这一点…同样在web.xml文件中-
<!-- ======= Direct .xhtml access constraint - Starts ======= -->
<security-constraint>
<display-name>Restrict direct access to XHTML files</display-name>
<web-resource-collection>
<web-resource-name>XHTML files</web-resource-name>
<url-pattern>*.xhtml</url-pattern>
</web-resource-collection>
<auth-constraint />
</security-constraint>
<!-- ======= Direct .xhtml access constraint - Ends ======= -->
限制对XHTML文件的直接访问
XHTML文件
*.xhtml
问题是,即使在使用了上述内容之后,我仍然能够使用web应用程序URL查看*.xhtml文件的源代码
当删除HTTPS安全约束时,这种情况是完美的。我的直觉是HTTPS安全性约束超过了文件访问约束
我已经到处找了,但还没有找到任何能同时适用于这两者的东西
请帮助查找在HTTPS web应用程序上禁用文件访问的方法
谢谢
Ckhurana大家好,有人愿意为此提供一些建议吗?您是在Tomcat前面使用web服务器(如Apache httpd),还是Tomcat提供所有流量服务?嗨,Christopher,不,只有Tomcat在运行。所有的请求都是由Tomcat自己来满足和响应的。看起来很奇怪……5天了,没有人愿意为此提供任何建议?拜托大家,是谁干的?想回复吗?构建一个最小的测试用例WAR并将其发布到pastebin之类的地方。我来看看。Tomcat中可能有bug,但可能性不大。