Безопасно ли иметь файл конфигурации вне развернутого файла войны Java?

Question

В частности, более или менее безопасно иметь файл снаружи?

Предполагается, что вы поместили файлы конфигурации в корневой каталог (веб-сервера). И что к файлам применяются только стандартные ограничения (без специальных инструментов блокировки).

Answer 1

Зависит от того, куда вы положили свои файлы конфигурации в вашу WAR.Если вы поместите его в WEB-INF или META-INF, вы не сможете направить эти файлы.

/ app / WEB-INF / web.xml выдает HTTP 404.

Если толькоесть другой эксплойт, который позволил бы кому-то получить доступ к файлам на сервере, я бы сказал, что он не более безопасен в WAR в нужном месте, чем вне WAR-файла.

Answer 2

Да, это может быть безопасно, хотя я бы не использовал корневой каталог веб-сервера.

Обычно веб-сервер настроен для работы в качестве своего собственного пользователя (например, tomcat в Linux запускается как пользователь tomcat). Поэтому, если файл может быть прочитан только tomcat, доступ к нему может получить только веб-сервер.

Вы можете использовать Context.xml в каталоге conf tomcat, чтобы либо напрямую внедрить настройки в контекст приложения, либо добавить туда свойство, указывающее на местоположение файла. Таким образом, местоположение не нужно фиксировать.