想知道这是否会存在潜在的安全风险。我有一个 java servlet Web 应用程序,在每个页面的底部,我生成一个“报告页面问题”链接,其中包括原始 url 请求以及请求转发到的 JSP 的路径。问题是 JSP 页面有时位于 WEB-INF 文件夹中。这是否存在潜在的安全风险?因为我可能会显示 WEB-INF 的内容?
它可能表明请求已转发到
/WEB-INF/views/user/ViewUser.jsp for example.
您可以在打印路径时删除部分路径,我不明白为什么用户需要知道请求是从哪个 jsp 转发的。否则这不是一个很大的问题,因为 Servlet 容器不会提供 WEB-INF 中的任何内容。通过将 JSP 放在那里,您可以防止任何人通过在浏览器中按名称导航到 JSP 来直接访问该 JSP。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)