Eu tenho um aplicativo Spring e estou me perguntando a melhor maneira de veicular conteúdo estático. Eu tentei o seguinte:

<servlet-mapping>
    <servlet-name>default</servlet-name>
    <url-pattern>/static/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
    <servlet-name>app</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

Isso funciona, mas o comportamento do DefaultServlet significa que qualquer solicitação do formulário/static/PATH serve o arquivo dewebapp/PATH. Isso expõe uma enorme vulnerabilidade, permitindo que informações confidenciais sejam mostradas com URLs como:http: //localhost/app/static/META-INF/context.xml

Qual é a solução comum para isso? Devo mover os arquivos confidenciais? Escreva meu próprio DefaultServlet? Ou existe uma maneira melhor de veicular conteúdo estático?