Security Tomcat安全约束-禁用HTTPS web应用上的文件访问_Security_Tomcat_Https_Constraints

Security Tomcat安全约束-禁用HTTPS web应用上的文件访问

security tomcat https

Security Tomcat安全约束-禁用HTTPS web应用上的文件访问,security,tomcat,https,constraints,Security,Tomcat,Https,Constraints,首先是背景—— 我在Tomcat中有一个正在运行的JSF1.1.14 web项目 Tomcat在HTTPS上承载相同的数据（SSL已经配置好并且运行良好）实施2。上面，我们在web应用程序的web.xml中有以下配置-  <security-constraint> <web-resource-collection> <web-re

首先是背景——

我在Tomcat中有一个正在运行的JSF1.1.14 web项目

Tomcat在HTTPS上承载相同的数据（SSL已经配置好并且运行良好）

实施2。上面，我们在web应用程序的web.xml中有以下配置-

<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Starts ======= -->
<security-constraint>
<web-resource-collection>
<web-resource-name>URL reserved for Acquisition application</web-resource-name>
<url-pattern>/*</url-pattern>
<http-method>POST</http-method>
<http-method>GET</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
<!-- ======= TRANSPORT GUARANTEE CONSTRAINT Ends ======== -->


为采集应用程序保留的URL
/*
邮递
得到
保密的

以上，我相信是Tomcat的行业标准方法

问题是我们需要通过web应用禁用*.xhtml访问，并继续对整个web应用使用HTTPS

在理想的环境中，使用下面的代码片段很容易做到这一点…同样在web.xml文件中-

<!-- ======= Direct .xhtml access constraint - Starts ======= -->
<security-constraint>
<display-name>Restrict direct access to XHTML files</display-name>
<web-resource-collection>
<web-resource-name>XHTML files</web-resource-name>
<url-pattern>*.xhtml</url-pattern>
</web-resource-collection>
<auth-constraint />
</security-constraint>
<!-- ======= Direct .xhtml access constraint - Ends ======= -->


限制对XHTML文件的直接访问
XHTML文件
*.xhtml

问题是，即使在使用了上述内容之后，我仍然能够使用web应用程序URL查看*.xhtml文件的源代码

当删除HTTPS安全约束时，这种情况是完美的。我的直觉是HTTPS安全性约束超过了文件访问约束

我已经到处找了，但还没有找到任何能同时适用于这两者的东西

请帮助查找在HTTPS web应用程序上禁用文件访问的方法

谢谢

Ckhurana

大家好，有人愿意为此提供一些建议吗？您是在Tomcat前面使用web服务器（如Apache httpd），还是Tomcat提供所有流量服务？嗨，Christopher，不，只有Tomcat在运行。所有的请求都是由Tomcat自己来满足和响应的。看起来很奇怪……5天了，没有人愿意为此提供任何建议？拜托大家，是谁干的？想回复吗？构建一个最小的测试用例WAR并将其发布到pastebin之类的地方。我来看看。Tomcat中可能有bug，但可能性不大。