我可以在tomcat中使用安全约束锁定特定的资源。但它只能使用指定的精确大小写锁定路径。我仍然可以通过更改大小写来访问资源(文件)。
处理这个问题的最好方法是什么?Tomcat在默认情况下强制对资源进行区分大小写的访问(即使在像Windows这样的不区分大小写的文件系统上也是如此),因此更改大小写不应该允许您绕过安全约束。我可以想到几种可能发生这种情况的方法:
-
您忽略了文档中的安全警告,并在不区分大小写的文件系统上将allowLinking设置为true。
-
您在Tomcat前面使用反向代理,并以绕过安全约束的方式配置(如果您配置了反向代理,我们需要知道是哪一个以及它是如何配置的,以进一步帮助)。