tomcat 虚拟目录的安全问题

谁都知道tomcat 可以设置虚拟目录。

 

一般的web application 都会使用自己的安全策略。

 

如果你的web application 使用的自己的安全策略，恰好又需要使用虚拟目录，这时候就会有问题了。

 

你的web applicatoin的安全策略是无法保护虚拟目录的，即使你把虚拟目录的路径甚至的和你的web applicatoin 一样也没用。

 

后来我思考了一下，任何对tomcat路径的访问，首先肯定是经过tomcat的。

 

如果此时你正好访问虚拟路径，那么tomcat会首先发现，就不会再传递给你的web application 了。

 

目前，我还没有想到什么办法去解决这个问题。