tomcat 虚拟目录的安全问题
谁都知道tomcat 可以设置虚拟目录。
一般的web application 都会使用自己的安全策略。
如果你的web application 使用的自己的安全策略,恰好又需要使用虚拟目录,这时候就会有问题了。
你的web applicatoin的安全策略是无法保护虚拟目录的,即使你把虚拟目录的路径甚至的和你的web applicatoin 一样也没用。
后来我思考了一下,任何对tomcat路径的访问,首先肯定是经过tomcat的。
如果此时你正好访问虚拟路径,那么tomcat会首先发现,就不会再传递给你的web application 了。
目前,我还没有想到什么办法去解决这个问题。