単純な動的Webプロジェクトで強制ブラウジングを禁止するためにURLをインターセプトする方法は?
Webアプリケーションで強制ブラウジングに関連する問題が見つかりました。次のようにURLを押すだけで、静的コンテンツ(テキストドキュメントなど...主にヘルプドキュメント)にアクセスできることを確認できました。
例: http://www.example.com/example/example.txt
ユーザーは認証なしでそれを行うことができました。 Javaでシンプルな動的Webアプリケーションがあります。私は春がタグを使用してこのタスクを達成できることを知っていますが、web.xmlだけを使用して同じことを達成できる方法はないと思います。
情報:静的コンテンツはWEB-INFフォルダーの外部にあります。
無許可のユーザーが静的コンテンツにアクセスしないように安全に保護するための代替方法の提案はありますか?
静的コンテンツへの直接アクセスを禁止し、承認を確認してユーザーが承認されている場合はコンテンツを提供する動的ページを作成できます。
例 http://www.example.com/static.jsp?content=example.txt
これを行う場合は、このページがユーザーにアクセスさせたいコンテンツのみを返すことができるように非常に注意してください。たとえば、ユーザーに次のようなことを許可しないでください: http://www.example.com/static .jsp?content =/etc/passwd または http://www.example.com/static.jsp?content=../WEB-INF/web.xml
このページが返すことが許可されている静的コンテンツのホワイトリストを使用することをお勧めします。