文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >Tomcat Web xml URL-Pattern不接受带参数的URL?

Tomcat Web xml URL-Pattern不接受带参数的URL?
EN

Stack Overflow用户
提问于 2013-03-01 03:43:29
回答 1查看 2.1K关注 0票数 1

我试图在tomcat6上为一个自动售卖的应用程序保护几个页面。除了两个URL(在下面的代码中标有两个星号)之外,我成功地对大多数URL使用了URL-pattern。这两个URL的不同之处在于它们采用决定视图的参数。我想限制这两个视图,因此已经指定了要阻止/保护/验证的确切URL,如下所示。但是tomcat并不能保证它们的安全。

代码语言:javascript
复制
 <security-constraint>
            <web-resource-collection>
                    <web-resource-name>TopBraid</web-resource-name>
                    <description>Restrict few pages that need security.</description>
                    <url-pattern>/tbl/admin/*</url-pattern>
                    <url-pattern>/tbl/sparql/*</url-pattern>
                    **<url-pattern>/tbl/swp?_viewClass=appConfig:ServerConfigEditor</url-pattern>**
                    **<url-pattern>/tbl/swp?_viewClass=adminConfig:AdminEditPage</url-pattern>**
                    <url-pattern>/tbl/sp_reset</url-pattern>
                    <url-pattern>/tbl/sp_redeploy</url-pattern>
            </web-resource-collection>
            <auth-constraint>
                    <role-name>SERVER_ADMINS</role-name>
            </auth-constraint>
    </security-constraint>
    <security-role>
            <role-name>SERVER_ADMINS</role-name>
    </security-role>
    <login-config>
            <auth-method>FORM</auth-method>
            <realm-name>TopBraid</realm-name>
            <form-login-config>
                    <form-login-page>/logon.html</form-login-page>
                    <form-error-page>/logonError.html</form-error-page>
            </form-login-config>
    </login-config>
    <security-constraint>
            <web-resource-collection>
                <web-resource-name>Public</web-resource-name>
                <description>Matches any page.</description>
                <url-pattern>/*</url-pattern>
            </web-resource-collection>
    </security-constraint>

我知道JSR规范可能会将它们称为无效模式。想知道是否可以以某种方式指定模式,以便它是可接受的。或者,是否有其他方法可以限制对上面列出的两个URL的访问?

web.xml
url-pattern
java
security
tomcat
EN

回答 1

Stack Overflow用户

发布于 2013-03-01 06:11:39

限制对特定URL参数和它们的值的访问,就像您在上面的/tbl/swp?_viewClass=tblconfig:ConfigEditor /tbl/swp?_viewClass=admins:AdminsEditorPage中尝试做的那样,在web或应用服务器上是不可能的。这种类型的过滤/URL限制必须由应用程序本身通过为这些视图创建一个唯一的会话来执行。

当应用服务器解析传入的URL时,一旦到达第一个"?“,它们的工作就完成了。它是要传递给应用程序的第一个参数。从这里开始,任何类型的过滤/访问控制都必须由应用程序处理。

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/15144262

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档