Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Application Server » Tomcat  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Tomcat和Apache2整合后泄露jsp源代码的问题
brucelei





发贴: 2
积分: 0
于 2006-11-27 14:08 user profilesend a private message to usersearch all posts byselect and copy to clipboard. ie only, sorry for netscape users:-)add this post to my favorite list
在整合apache和tomcat中发现jsp后缀大写时会显示源码,在论坛找到类似问题的贴子:
http://bbs.cjsdn.net/post/view?bid=11&id=75184

不过跟贴似乎没有解决此问题,故发此贴补充:

可以修改apache的配置文件:httpd.conf
在FilesMatch模块添加如下配置:
<FilesMatch ".JSP">
Order allow,deny
Deny from all
</FilesMatch>
经测试,可以解决各种jsp大小写组合泄露源码的问题,还可以屏蔽在jsp后添加“%20”、“%2E”等泄露jsp源码的问题。

此外,为防止WEB-INF等特殊目录被apache直接访问,应在httpd.conf中添加:
<Directory ~ "/WEB-INF/">
Order allow,deny
Deny from all
</Directory>
原理和上边类似了,一个文件、一个目录而已。

测试环境:windowsxp+apache2.2+tomcat5.5.20+jdk1.5.0

brucelei edited on 2006-11-27 14:14


flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1
客服电话 18559299278    客服信箱 714923@qq.com    客服QQ 714923