通常,jsp开发人员会把他们的页面存放在webRoot目录的相应目录下面,基于不同功能的JSP页面存放在相应的 目录下面。
这种做法的一个问题是这些页面文件容易被偷看到源码,或直接调用。某些场合下可能不是大问题,可在一些特殊的场合中却可能构成安全隐患,用户可以绕过Struts的controler直接调用JSP也同样是一个问题。
为了减少风险,可以把这些页面放到WEB-INF目录下面。基于Servlet的声明,WEB-INF不作为WEB应用的公共文档树的一部份。因此,WEB-INF目录下的资源不是为用户直接服务的。
|
|
来自: Blex > 《Jsp&Java》