在WEB-INF中显示文件路径的安全风险java

Question

想知道这是否会带来潜在的安全风险。我有一个java servlet web应用程序，并且在每个页面的底部，我生成一个“报告页面问题”链接，其中包含原始url请求以及请求转发到的JSP路径。问题在于JSP页面有时位于WEB-INF文件夹中。这是否有潜在的安全风险？我可能会显示WEB-INF的内容？

这可能表明该请求被转发到

/WEB-INF/views/user/ViewUser.jsp for example. 

Answer 1

在打印过程中的路径，您可以删除该路径的一部分，我不明白为什么用户需要知道从哪个JSP请求被转发。否则，它不是一个很大的问题，因为Servlet容器不会在WEB-INF中提供任何内容。通过将JSP放在那里，您可以防止任何人通过名称在浏览器中导航到JSP，从而直接访问JSP。