我们当前的 Web 应用程序 url 向最终用户显示类包结构。这是因为在 web.xml 中 servlet 映射标记如下 Servlet_ 名称 /servlet/com.xxx.yyy.ClassName
有什么方法可以隐藏包结构。即 com.xxx.yyy.ClassName 只是 ClassName?
谢谢 萨米尔
【问题讨论】:
这可以识别为 Tomcat 的内置 InvokerServlet 的 old and vulrenable feature。要解决此问题,请在 Tomcat 的 /conf.web.xml 中禁用它,方法是删除或注释掉与 <servlet-name>invoker</servlet-name> 关联的 <servlet> 和 <servlet-mapping> 条目。
这是旧 Tomcat 版本中的一个安全漏洞,在 Tomcat 5 及更高版本中已修复,该漏洞已被弃用并默认禁用。它将在 Tomcat 7 中删除。
您需要自己明确定义 webapp 的 web.xml 中的所有 servlet,以及一个像样的 url-pattern。如果您有很多 servlet,请考虑 前端控制器模式,即只有一个 servlet,它根据每个请求方法、请求 URI、请求路径信息等委托和执行所需的业务逻辑开。
【讨论】:
【讨论】: