背景:在项目渗透测试中发现的这个问题,在浏览器输入对应的目录后,居然访问到了服务器的某些静态资源,这个就很危险了,必须解决。
起初以为是springboot的问题,查了各种资料,写了各种拦截器,过滤器,都不好使,不管怎么写都还是可以访问到这个目录。
最后,卧槽,灵感来了,我直接复制下面的Name,Last Modified,Size去搜索,还真让我给瞎猫碰到死耗子搜到了,是jetty引起的
关闭这个也很简单,在jetty容器的etc目录里的webdefault.xml文件,把dirAllowed设置false就可以了,如下:
<init-param>
<param-name>dirAllowed</param-name>
<param-value>false</param-value>
</init-param>如果是项目内集成的jetty的话,也是要设置dirAllowed为false,如下:
webAppContext.setInitParameter("org.eclipse.jetty.servlet.Default.dirAllowed", "false");
博主,交换友情链接吗?
可以。
博主,换友情链接吗?