放置是否有效,标准和最佳实践

>可公开访问的页面位于WEB-INF文件夹之外,例如

index.jsp, home.jsp, store.jsp, login.jsp, registration.jsp...
and

>安全页面

admin.jsp, reports.jsp, manageusers.jsp, manageproducts.jsp...

出于安全原因(不能通过url直接访问)在WEB-INF文件夹中,通过创建控制器servlet来访问它们
>和包括喜欢

navigation.jsp, header.jsp, footer.jsp, sitemap.jsp...

在特别保护的目录中,不能直接从url访问？

最佳答案 这听起来有点像有人正在辩论,并希望打破平局？ 🙂

这可以切成千条方式……但出于安全原因,我个人不会描述将它们放在WEB-INF中的目的,这完全是因为您不希望用户直接访问这些资源,原因有多种.

您可以将WEB-INF用作安全基础架构的一部分,但我不认为这是标准的最佳实践.安全性应该从请求级别开始,然而您将这些资源交付给用户取决于您 – WEB-INF不是“解决方案”,并且它“不需要”.

在WEB-INF之外放置可访问的资源……好吧,当然,为什么不呢？

不同的框架可能会让您以某种方式将所有资源放在WEB-INF中,并通过各种控制器/过滤器/ serlvet机制使它们可访问,但这只是框架的属性,并且不应该让您相信将资源放在外部WEB-INF是禁止的.