如何解决使用 Vaadin 8、JBoss EAP 7.0、Firefox 浏览器获取 URL /VAADIN/* 的目录列表问题
问题陈述:
使用部署在 Jboss EAP 7.0 上的 Vaadin 8 构建的应用程序存在 /VAADIN/* 中所有资源的目录列表问题,例如 /VAADIN/themes/mytheme/images
验证:
在验证其他目录时,例如 myapp/images 或 my/js 没有发生此问题,这意味着默认目录列表在 Jboss 配置中已关闭并且运行良好。 仅在 Firefox 上有问题
方法:
我可以通过为 /VAADIN/* URL 配置身份验证过滤器来部分修复,但无论如何发布身份验证目录列表仍在发生。在修复之前,列表是在没有身份验证的情况下发生的
请建议修复漏洞
解决方法
感谢您的报告,我们已经注意到 Vaadin Flow 的一些相关问题,但票证或相关更改尚未向后移植到 Vaadin 8。我会研究一下。
不应显示目录列表,尽管缺少它主要是通过默默无闻来提供安全性。无论如何,提供给客户端的文件都可以通过客户端访问。其中最好不要包含任何敏感数据。
编辑:向后移植的修复现在应该在 8.14-SNAPSHOT 中可用。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。