目录"/>
jetty解决目录
应用开发、部署用的jetty容器。安全监测发现有目录遍历的问题。即浏览器中输入目录地址就可以访问服务器上的文件,如下:
这是非常不安全的。解决该问题也很简单,比照网上Tomcat的解决方案,jetty也有defaultServlet配置的解决方案。在web.xml中添加配置即可,如下:
<servlet><servlet-name>default</servlet-name><!-- <servlet-class>org.mortbay.jetty.servlet.DefaultServlet</servlet-class> --><servlet-class>org.eclipse.jetty.servlet.DefaultServlet</servlet-class><init-param><param-name>dirAllowed</param-name><param-value>false</param-value></init-param><load-on-startup>0</load-on-startup>
</servlet>
<servlet-mapping><servlet-name>default</servlet-name><url-pattern>/</url-pattern>
</servlet-mapping>
其中dirAllowed即是对目录遍历的配置,true为允许,false为禁止。
需要注意的是,在jetty低版本中,可能会报错org.eclipse.jetty.servlet.DefaultServlet找不到classnotfound。这是因为低版本的jetty或者是jetty自己对default进行管理,高本版中才将其给了eclipse进行管理。此时将org.eclipse.jetty.servlet.DefaultServlet改为org.mortbay.jetty.servlet.DefaultServlet即可。
修改以后,再次访问,访问被拒,如下:
以上记录完毕。
更多推荐
jetty解决目录
发布评论