在WEB-INF中顯示文件路徑的安全風險java

Question

想知道這是否會帶來潛在的安全風險。我有一個java servlet web應用程序，並且在每個頁面的底部，我生成一個「報告頁面問題」鏈接，其中包含原始url請求以及請求轉發到的JSP路徑。問題在於JSP頁面有時位於WEB-INF文件夾中。這是否有潛在的安全風險？我可能會顯示WEB-INF的內容？

這可能表明該請求被轉發到

/WEB-INF/views/user/ViewUser.jsp for example. 

Answer 1

在打印過程中的路徑，您可以刪除該路徑的一部分，我不明白爲什麼用戶需要知道從哪個JSP請求被轉發。否則，它不是一個很大的問題，因爲Servlet容器不會在WEB-INF中提供任何內容。通過將JSP放在那裏，您可以防止任何人通過名稱在瀏覽器中導航到JSP，從而直接訪問JSP。