У меня есть приложение Spring, и мне интересно, как лучше всего обслуживать статический контент. Я пробовал следующее:
default
/static/*
app
/
Это работает, но поведение DefaultServlet означает, что любой запрос формы / static / PATH
обслуживает файл из webapp / PATH
. Это представляет серьезную уязвимость, позволяющую отображать конфиденциальную информацию с такими URL-адресами, как: http: //localhost/app/static/META-INF/context.xml
What ' общее решение для этого? Следует ли переместить конфиденциальные файлы? Написать свой собственный DefaultServlet? Или есть лучший способ обслуживания статического контента?