Jetty容器,关闭浏览器输入目录可以访问到资源路径

背景:在项目渗透测试中发现的这个问题,在浏览器输入对应的目录后,居然访问到了服务器的某些静态资源,这个就很危险了,必须解决。

起初以为是springboot的问题,查了各种资料,写了各种拦截器,过滤器,都不好使,不管怎么写都还是可以访问到这个目录。

最后,卧槽,灵感来了,我直接复制下面的Name,Last Modified,Size去搜索,还真让我给瞎猫碰到死耗子搜到了,是jetty引起的

关闭这个也很简单,在jetty容器的etc目录里的webdefault.xml文件,把dirAllowed设置false就可以了,如下:

        <init-param>
	  <param-name>dirAllowed</param-name>
	  <param-value>false</param-value>
	</init-param>

如果是项目内集成的jetty的话,也是要设置dirAllowed为false,如下:

webAppContext.setInitParameter("org.eclipse.jetty.servlet.Default.dirAllowed", "false");

 

 

版权声明:
作者:黯然gg
链接:https://3zi.cn/archives/696
来源:阿龙爱吃肉
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
< <上一篇
下一篇>>
文章目录
关闭
目 录