tomcat中禁止某类文件的访问

最新推荐文章于 2024-08-11 23:54:45 发布
最新推荐文章于 2024-08-11 23:54:45 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: j2ee 文章标签: tomcat

有时候为了网站的健壮性或者安全性,我们需要禁止直接对开发目录的某类文件的访问.或者对某个文件夹下面的文件进行访问.

如果是tomcat的话,通过设置安全认证可以实现.

web.xml中配置例子如下:

<!-- 权限管理 -->
<security-constraint>
  <!-- 设置要保护的资源 -->
  <web-resource-collection>
    <web-resource-name>Members Only</web-resource-name>
    <url-pattern>/membersonly/*</url-pattern>
    <url-pattern>[URL类型2]</url-pattern>
    <http-method>[HTTP方法1]</http-method>
    <http-method>[HTTP方法2]</http-method>
  </web-resource-collection>

 <!-- 设置访问角色 -->
  <auth-constraint>
    <role-name>user</role-name>
    <role-name>[角色2]</role-name>
  </auth-constraint>
</security-constraint>

<!-- 认证方法 -->
<login-config>
  <auth-method>BASIC</auth-method>
  <realm-name>Members Only</realm-name>
</login-config>

<!-- 网站角色-->
<security-role>
  <role-name>user</role-name>
</security-role>
<security-role>
  <role-name>角色2</role-name>
</security-role>

 

如果想对某类文件禁止访问,我们这样设置<url-pattern>/'*.jsp</url-pattern>.

这样的话url里面只要有jsp就会被拒绝访问.对某些安全性要求较高的网站来说不失为一种好的办法.

===================

你如下设置就可以了  
   
  Tomcat_Homt\conf\tomcat-users.xml   文件内容如下,注意其中的employee和web.xml中的employee是对应的。  
   
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
  <role rolename="manager"/>
  <role rolename="tomcat"/>
  <role rolename="admin"/>
  <role rolename="role1"/>
  <user username="tomcat" password="tomcat" roles="tomcat"/>
  <user username="both" password="tomcat" roles="tomcat,role1"/>
  <user username="lizongbo" password="lizongbopass" roles="admin,manager"/>
  <user username="role1" password="tomcat" roles="role1"/>
</tomcat-users>

   
  你的Webapp下WEB-INF\web.xml内容  
   
  <display-name>Tomcat Server Configuration Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<!-- Define the context-relative URL(s) to be protected -->
<url-pattern>*.jsp</url-pattern>
<url-pattern>*.do</url-pattern>
<url-pattern>*.html</url-pattern>
<url-pattern>/images/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<!-- Anyone with one of the listed roles may access this area -->
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<!-- Login configuration uses form-based authentication -->
<login-config>
<auth-method>FORM</auth-method>
<realm-name>Tomcat Server Configuration Form-Based Authentication Area</realm-name>
<form-login-config>
<form-login-page>/login.jsp</form-login-page>
<form-error-page>/error.jsp</form-error-page>
</form-login-config>
</login-config>
<!-- Security roles referenced by this web application -->
<security-role>
<description>
The role that is required to log in to the Administration Application
</description>
<role-name>admin</role-name>
</security-role>

duhai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB-INF访问权限
05-01 2448
web项目,为了安全,可能需要把jsp文件放在WEB-INF目录下,这样如果我们的页面出现超链接a标签或者js的location.href去直接转向到WEB-INF下的某一个jsp页面,那么就会引用不到,因为这样的请求方式是客户端的请求,而WEB-INF页面只对服务端开放,对客户端是不可见的。这时候我们可以使用action,来进行转向,我们先去请求一个action,然后由这个action分发
tomcat禁止访问路径与文件、错误页面跳转配置
u011393648的博客
03-30 4929
tomcat禁止访问文件文件目录 最近项目扫描的时候遇到一个问题,需要在tomcat限制对包含项目信息文件访问,在使用eclipse写项目是,会生成一个.project文件,这个文件里面包含了项目的关键信息,而且有时候删除扔能继续访问,于是只能对这个文件限制web访问,否则会存在安全漏洞,以下是解决办法: 在tomcat/conf/web.xml加入以下代码 <security-constraint> <display-name>Forbidden</displ
Apache安全配置之禁止目录访问的配置方法
01-10
在PHP网站开发,为了让网站目录文件和程序代码的安全考虑,我们必须对某些目录或者文件访问权限进行控制,来提高网站的安全,那么我们怎样来实现这种功能呢?这时候可以配置Apache来禁止网站以目录的形式列出网站内容。 在Apache没有配置禁止目录访问时候,当你访问 http://localhost  时会列出相关的目录和文件列表,我们可以通过修改Apache配置文件httpd.conf来实现禁止列出目录/文件列表,方法如下: 1、打开apache的配置文件“httpd.conf” 2、找到以下部分 代码如下:<Directory>Options IndexesAllowOverride
tomact 限制通过项目去访问文件
qq_43420577的博客
05-29 2295
3.上面的配置将限制访问 /root/ 目录下的所有文件文件夹。只有具有 restrictedAccess 角色的用户才能访问该目录。上面的配置将创建一个名为 admin 的用户,密码为 password,该用户具有 SB角色。1.打开 Tomcat 安装目录下的 conf 目录,找到 web.xml 文件。最后,重启 Tomcat 服务器使配置生效。
tomcat服务器拒绝访问文件,tomcat拒绝访问特定文件
weixin_31541755的博客
07-31 1835
小编典典一种方法是实施Filter例如:package package;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class FilterImplementation implements Filte...
Tomcat 限制对 Web 应用程序的访问
allway2的博客
07-28 1535
使用身份验证设置,您可以指定多个用户并通过说明角色为他们提供不同级别的访问权限。而且,如果您知道来自特定IP地址的针对您的应用的有害操作-只需限制每个滥用者的访问权限。在本文,我们将指导如何保护运行在Tomcat服务器上的应用程序。因此,能够限制对应用程序的访问对您的业务至关重要。只需几个简单的步骤即可保护您的应用免受滥用用户的侵害。1.导航到部署了您的应用程序的环境。的用户在尝试访问您的应用程序时将看到HTTP状态403。设置对您的Web应用程序的。4.转到同一文件的。...
WEB-INF 文件禁止访问
cc110120的博客
03-01 552
WEB-INF 文件禁止访问 公司用的是apache+tomcat以前别人弄好的。 早上没事突然想到域名指向的文件访问的问题,就试着访问了下WEB-INF/class/jdbc.properties文件,竟然打开了。郁闷,服务器数据库信息都在里面呢。前几天刚好看过apache配置问题。后来在apache文件夹下conf/httpd.添加以下信息。 # /home/xxxxxx/WEB...
tomcat配置只能域名访问禁止ip访问
06-15
tomcat配置只能域名访问禁止ip访问 直接替换tomcat里面的server.xml 文件,但是里面的ip要更换你自己的ip
【JavaWebtomcat服务器访问硬盘文件(图片示例)
01-08
在实际应用,有时我们需要让Tomcat服务器直接访问硬盘上的文件,例如展示静态资源如图片。以下是如何通过Tomcat配置来实现这一功能的详细步骤。 首先,我们需要找到Tomcat的安装路径,并打开`conf`文件夹。在这个...
Tomcat实现多域名访问详解
09-30
Tomcat的域名与Web应用的绑定是在server.xml文件进行的。需要修改Host标签的属性,将defaultHost设置为绑定的域名,同时,可以在Host标签内添加多个Context标签来定义多个Web应用的路径。 最后,Tomcat服务器还...
tomcat 7.0.79安装版安装文件
03-31
- **work**:存放JSP编译后的Servlet类文件。 4. **安装Tomcat 7.0.79**: - 下载`apache-tomcat-7.0.79.exe`,运行安装程序。 - 指定安装路径,按照提示进行安装。 - 安装完成后,可以通过bin目录下的startup....
apache tomcat 8.5.16安装版安装文件
03-31
在本安装文件,我们将深入探讨Apache Tomcat 8.5.16的安装过程及其核心特性。 **一、安装Apache Tomcat 8.5.16** 1. **下载安装文件**: 首先,你需要从Apache官方网站或可靠的第三方资源下载"apache-tomcat-...
tomcat 禁止某些文件(夹)的访问
weixin_30881367的博客
09-03 743
tomcat 禁止某些文件(夹)的访问 <!-- 不允许访问文件以及文件夹 --> <security-constraint> <display-name>Tomcat Server Configuration Security Constraint</display-name> <web...
tomcat 下的虚拟目录 禁止通过url访问文件列表
puzzel110的专栏
07-15 3095
tomcat配置了虚拟目录,发现通过url能够直接访问目录下的文件列表,而同事的却不能直接访问。解决方法: 将web.xml下的: 红色包括的“true”改成“false”即可
Tomcat禁止访问某些目录和文件
JAVA_HOME
06-18 7528
你如下设置就可以了         Tomcat_Homt\conf\tomcat-users.xml   文件内容如下,注意其的employee和web.xml的employee是对应的。       &lt;?xml version='1.0' encoding='utf-8'?&gt;&lt;tomcat-users&gt;  &lt;role rolename="manager"/&g...
【解决方法】导入war项目Tomcat无法打开WEB-INF下的文件
weixin_43545225的博客
02-29 1865
导入war项目Tomcat无法打开WEB-INF下的文件运行环境问题描述解决方法 运行环境 MyEclipse 2014 java 1.7.0 Tomcat 7 问题描述 从服务器上导出了一个war包格式的项目,想要在本地修改前端的样式之后重新上传到服务器。可是war格式的项目jsp,没有controller层那种直接访问的链接。所有的jsp文件都在WEB-INF下,因此,想要访问某个jsp...
nginx和Tomcat配合使用时nginx.conf配置不允许访问WEB-INF的方法
weixin_33797791的博客
07-15 1029
2019独角兽企业重金招聘Python工程师标准>>> ...
影院订票系统/电影院售票系统/电影院购票系统的设计与实现/影院管理系统
最新发布
m0_73706453的博客
08-11 777
“互联网+”的战略实施后,很多行业的信息化水平都有了很大的提升。但是目前很多电影院日常业务仍是通过人工管理的方式进行,需要在影院订票投入大量的人力进行很多重复性工作,这样就浪费了许多的人力物力,工作效率较低,同时为后续的影院订票带来了隐患。影院订票系统的部署与应用,实现管理员对用户、影院信息、影厅信息、电影信息等功能,进行管理,这可以简化工作程序、降低劳动成本、提高影院订票效率和工作效率。为了有效推动电影院资源的合理配置和使用,迫切需要研发一套更加全面的影院订票系统。
tomcat配置禁止访问路径
06-08
Tomcat,可以通过配置web.xml文件禁止访问某些路径。具体步骤如下: 1. 在web.xml文件添加security-constraint的配置信息,例如: ``` <security-constraint> <web-resource-collection> <web-resource-name>Restricted Access</web-resource-name> <url-pattern>/restricted/*</url-pattern> </web-resource-collection> <auth-constraint /> </security-constraint> ``` 这里的`/restricted/*`是要禁止访问的路径,可以根据实际情况进行配置。 2. 在web.xml文件添加login-config的配置信息,例如: ``` <login-config> <auth-method>BASIC</auth-method> <realm-name>Restricted Area</realm-name> </login-config> ``` 这里的`BASIC`表示使用基本认证方式,`Restricted Area`是自定义的领域名称。 3. 在web.xml文件添加security-role的配置信息,例如: ``` <security-role> <role-name>restricted</role-name> </security-role> ``` 这里的`restricted`是自定义的角色名称。 4. 在Tomcat的conf目录下创建tomcat-users.xml文件,添加用户和角色的配置信息,例如: ``` <tomcat-users> <user username="admin" password="admin" roles="restricted" /> </tomcat-users> ``` 这里的`admin`是用户名和密码,`restricted`是用户所属的角色。 通过这样的配置,访问`/restricted/*`路径时会弹出用户名和密码的认证框,只有具有`restricted`角色的用户才能访问该路径。如果没有权限,会返回“403 Forbidden”的错误页面。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值