问如何禁用tomcat中的文件web.xml/web.xml访问

EN

今天也有类似的问题。http://example.com/WEB-INF./web.xml可以访问WEB/web.xml(请注意/web.xml前面的. )。

这种情况只发生在带有tomcat的Windows服务器上。

要解决该行为，请编辑$TOMCAT_HOME/conf/context.xml并删除<Context ... />标记中的allowLinking=true (或设置为false)。然后重新启动tomcat。

另见Tomcat文档-上下文容器

allowLinking如果此标志的值为真，则允许web应用程序内的符号链接，指向web应用程序基路径内或外部的资源。如果未指定，则标志的默认值为false。注意:在Windows平台(或没有区分大小写的文件系统的任何其他操作系统)上，不能将此标志设置为true，因为它将禁用区分大小写的检查，允许JSP源代码泄露以及其他安全问题。