我注意到一种常见的模式是将JSP页面放在WEB-INF文件夹中(而不是WAR根目录)。有什么不同?为什么这样优先?
WEB-INF用户看不到其中的文件。这样比较安全。
WEB-INF
如果您包含(人为的示例)db.jsp,但是它本身引发了异常,则恶意用户可以打开http://yoursite.com/db.jsp并从异常消息中获得有关您的应用程序的一些见解(最糟糕的是- 数据库凭据)。
db.jsp
http://yoursite.com/db.jsp
