Tomcat exibindo conteúdo estático
Eu tenho um aplicativo Spring e estou me perguntando a melhor maneira de veicular conteúdo estático. Eu tentei o seguinte:
<servlet-mapping>
<servlet-name>default</servlet-name>
<url-pattern>/static/*</url-pattern>
</servlet-mapping>
<servlet-mapping>
<servlet-name>app</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
Isso funciona, mas o comportamento do DefaultServlet significa que qualquer solicitação do formulário/static/PATH
serve o arquivo dewebapp/PATH
. Isso expõe uma enorme vulnerabilidade, permitindo que informações confidenciais sejam mostradas com URLs como:http: //localhost/app/static/META-INF/context.xml
Qual é a solução comum para isso? Devo mover os arquivos confidenciais? Escreva meu próprio DefaultServlet? Ou existe uma maneira melhor de veicular conteúdo estático?