jetty解决目录

目录"/>

jetty解决目录

应用开发、部署用的jetty容器。安全监测发现有目录遍历的问题。即浏览器中输入目录地址就可以访问服务器上的文件，如下：

这是非常不安全的。解决该问题也很简单，比照网上Tomcat的解决方案，jetty也有defaultServlet配置的解决方案。在web.xml中添加配置即可，如下：

<servlet><servlet-name>default</servlet-name><!-- <servlet-class>org.mortbay.jetty.servlet.DefaultServlet</servlet-class> --><servlet-class>org.eclipse.jetty.servlet.DefaultServlet</servlet-class><init-param><param-name>dirAllowed</param-name><param-value>false</param-value></init-param><load-on-startup>0</load-on-startup>
</servlet>
<servlet-mapping><servlet-name>default</servlet-name><url-pattern>/</url-pattern>
</servlet-mapping>

其中dirAllowed即是对目录遍历的配置，true为允许，false为禁止。

需要注意的是，在jetty低版本中，可能会报错org.eclipse.jetty.servlet.DefaultServlet找不到classnotfound。这是因为低版本的jetty或者是jetty自己对default进行管理，高本版中才将其给了eclipse进行管理。此时将org.eclipse.jetty.servlet.DefaultServlet改为org.mortbay.jetty.servlet.DefaultServlet即可。

修改以后，再次访问，访问被拒，如下：

以上记录完毕。