Tomcat, обслуживающий статический контент
У меня есть приложение Spring, и мне интересно, как лучше обслуживать статический контент. Я пробовал следующее:
<servlet-mapping>
<servlet-name>default</servlet-name>
<url-pattern>/static/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>app</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
Это работает, но поведение DefaultServlet означает, что любой запрос формы/static/PATH
служит файл изwebapp/PATH
, Это предоставляет огромную уязвимость, позволяющую показывать конфиденциальную информацию с помощью таких URL-адресов, как:Http: //localhost/app/static/META-INF/context.xml
Какое общее решение для этого? Должен ли я переместить конфиденциальные файлы? Написать свой собственный DefaultServlet? Или есть лучший способ обслуживания статического контента?