На сервере tomcat 7, используемом сторонней программой, файл WEB-INF / web.xml доступен из браузера пользователя. Есть ли способ предотвратить это?
Была аналогичная проблема сегодня. WEB-INF / web.xml был доступен с http://example.com/WEB-INF./web.xml (обратите внимание на . перед /web.xml).
Это происходит только на серверах Windows с tomcat.
Чтобы решить эту проблему, отредактируйте $TOMCAT_HOME/conf/context.xml и удалить allowLinking=true (или установите значение false) в th <Context ... /> тег. Затем перезапустите tomcat.
Смотрите также Документация Tomcat - Контейнер контекста
allowLinking
Если значение этого флага истинно, внутри веб-приложения будут разрешены символические ссылки, указывающие на ресурсы внутри или за пределами базового пути веб-приложения. Если не указано иное, значение флага по умолчанию - false.
ПРИМЕЧАНИЕ. Этот флаг НЕ ДОЛЖЕН быть установлен в значение true на платформе Windows (или любой другой ОС, не имеющей файловой системы, чувствительной к регистру), поскольку он отключит проверку чувствительности к регистру, что позволит раскрыть исходный код JSP среди других проблем безопасности.