У меня есть приложение Spring, и мне интересно, как лучше обслуживать статический контент. Я пробовал следующее:

<servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>/static/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>app</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

Это работает, но поведение DefaultServlet означает, что любой запрос формы/static/PATH служит файл изwebapp/PATH, Это предоставляет огромную уязвимость, позволяющую показывать конфиденциальную информацию с помощью таких URL-адресов, как:Http: //localhost/app/static/META-INF/context.xml

Какое общее решение для этого? Должен ли я переместить конфиденциальные файлы? Написать свой собственный DefaultServlet? Или есть лучший способ обслуживания статического контента?