Tomcat, обслуживающий статический контент

У меня есть приложение Spring, и мне интересно, как лучше всего обслуживать статический контент. Я пробовал следующее:

    default
    /static/*


    app
    /

Это работает, но поведение DefaultServlet означает, что любой запрос формы / static / PATH обслуживает файл из webapp / PATH . Это представляет серьезную уязвимость, позволяющую отображать конфиденциальную информацию с такими URL-адресами, как: http: //localhost/app/static/META-INF/context.xml

What ' общее решение для этого? Следует ли переместить конфиденциальные файлы? Написать свой собственный DefaultServlet? Или есть лучший способ обслуживания статического контента?