最近项目扫描的时候遇到一个问题,需要在tomcat中限制对包含项目信息文件的访问,是因为我用的是hbuilder编译器,会自动生成一个.project文件,这个文件里面包含了项目的关键信息,而且不能删除,于是只能对这个文件限制web访问,否则会存在安全漏洞,以下是解决办法:
在tomcat/conf/web.xml中加入以下代码
<security-constraint>
<display-name>Forbidden</display-name>
<web-resource-collection>
<web-resource-name>aaa</web-resource-name>//填入要保护的项目名
<url-pattern>/.project</url-pattern>//填入需要被限制的文件路径
</web-resource-collection>
<auth-constraint>
<role-name/>
</auth-constraint>
</security-constraint>
设置自定义的项目报错页面,同样在web.xml中添加:
<error-page>
<error-code>403</error-code>//报错的代码
<location>/error.html</location>//报错的页面(就在前端页面下新建一个就好了)
</error-page>