Apache+Tomcat整合防止目录泄露

| |
[不指定 2005/11/01 22:54 | by ipaddr ]
Apache+Tomcat防止目录泄露
(ipaddr,bcomcn笔记,转载请注明)
Apache+Tomcat整合后,两者的主目录指向了同一目录,比如/website/app,因为Tomcat需要在主目录或context下建一个WEB-INF文件夹,对于Tomcat来说,通过Tomcat的8080端口,是无法访问这个目录的,但是,对于apache来说,默认情况下,对这个目录有访问权,用户可以直接访问http://localhost/WEB-INF/web.xml之类的来访问WEB-INF里面的配置,类和库。
需要在apache里配置一下,阻止用户访问WEB-INF之类的文件。
常用方法有:
1.
<Directory ~ "/WEB-INF/">
Order allow,deny
Deny from all
</Directory>


2.
RewriteEngine on
RewriteRule /WEB-INF/ / [R]


Net | 评论(0) | 引用(39) | 阅读(5050)