Tomcat禁用目录浏览的安全有限性

tomcat虽然提供禁用目录浏览功能，可以从一定程度上增加网站系统的安全性——一般人看不到目录文件也就不会去下载网站源码页面了，如jsp，asp文件等等。 但是，禁用目录浏览安全性也就只限如此，若通过网站运行中查看url具体的内容，或者查看页面源码，还是可以获得一些源码页面的具体url地址的，然后再通过下载工具便可下载下来了。 虽然页面屏蔽鼠标右键或者禁用查看代码功能似乎也有介绍，但总是“道高一尺，魔高一丈”，加之现在浏览器市场群雄逐鹿，还真没法放心的把这安全关口交给某一家去打理。 所以，要自己踏实些，做到下面几点应该要稳妥些： 1.在设计上url跳转还是尽量少用原始页面方式，可采用MVC这样的框架，把跳转交给具体的action类来实现. 2、文件加密。假设页面源码给看到，里面引用到一些比较重要的文件，如js文件，那只有将文件进行加密或者混淆了。（呵呵，曾经研究过百度地图的JS文件，那叫一个乱啊，只好不了了之） 第一个好办，严格开发规范即可，这第二条就不太容易了，不知可有更好的实现方式没有？

评论

2 楼 雁行 2008-01-25  

呵呵，我这是刚看到有人说怎样攻击JSP网站才有感而发的。
不管怎样，JSP、java在源码加密安全方面都嫌弱了些。
毕php差太多了。

1 楼 joyfun 2008-01-25  

晕 jsp你还怕他下源码?
能下到源码就说明你的机器已经不安全了 换什么软件都不行