对于一个WEB网站,对外开放显示根目录,当然是认定为是不安全的。这样会使任何人都可以尝试着去打开和访问甚至暴力猜测整个WEB站点的目录,而造成威胁。

    1、Jetty 配置

    — bin 存放Windows和linux等系统中使用的Jetty启动脚本和相关文件 — contexts 存放应用程序发布描述文件,里面有Jetty自带的示例文件 — distribution 关于发行构建的代码,正式环境可删除 — etc Jetty配置文件,后续章节会详细介绍 — examples Jetty示例程序源代码,正式环境可删除 — extras Jetty相关程序源代码,正式环境可删除 — javadoc Jetty 核心代码的API文档,正式环境可删除 — jxr Jetty 其他相关程序API文档,正式环境可删除 — LICENSES 发行协议说明 — logs 日志目录 — modules Jetty相关模块程序源代码,正式环境可删除 — patches jdk5的补丁文件描述,正式环境可删除 — project-website maven产生的项目站点文档目录 — resources 如果存在该目录,jetty启动时会将该目录加入类路径,默认存放log4j配置文件 — webapps 存放web应用程序,默认情况下该目录下面的文件夹或者war文件将在jetty启动的时候被运行 — start.jar 启动Jetty引导java程序,可以在各个操作系统中使用它启动jetty服务,后续章节将详细介绍该组件

    修改webdefault.xml 文件配置,param-value = false 为不可访问目录,默认为true。

    1. <init-param>
    2.    <param-name>dirAllowed</param-name>
    3.    <param-value>false</param-value>
    4. </init-param>

    2、Tomcat 配置

    bin ——Tomcat执行脚本目录 conf ——Tomcat配置文件 lib ——Tomcat运行需要的库文件(JARS) logs ——Tomcat执行时的LOG文件 temp ——Tomcat临时文件存放目录 webapps ——Tomcat的主要Web发布目录(存放我们自己的JSP,SERVLET,类) work ——Tomcat的工作目录,Tomcat将翻译JSP文件到的Java文件和class文件放在这里。

    image.png

    修改 web.xml 文件配置,listings = false 为不可访问目录,默认为false。

    1. <servlet>
    2.   <servlet-name>default</servlet-name>
    3.   <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>
    4.   <init-param>
    5.     <param-name>debug</param-name>
    6.     <param-value>0</param-value>
    7.   </init-param>
    8.   <init-param>
    9.     <param-name>listings</param-name>
    10.     <param-value>false</param-value>
    11.   </init-param>
    12.   <load-on-startup>1</load-on-startup>
    13. </servlet>