Tomcat禁用目录浏览的安全有限性

whitek

tomcat虽然提供禁用目录浏览功能，可以从一定程度上增加网站系统的安全性——一般人看不到目录文件也就不会去下载网站源码页面了，如jsp，asp文件等等。但是，禁用目录浏览安全性也就只限如此，若通过网站运行中查看url具体的内容，或者查看页面源码，还是可以获得一些源码页面的具体url地址的，然后再通过下载工具便可下载下来了。虽然页面屏蔽鼠标右键或者禁用查看代码功能似乎也有介绍，但总是“道高一尺，魔高一丈”，加之现在浏览器市场群雄逐鹿，还真没法放心的把这安全关口交给某一家去打理。所以，要自己踏实些，做到下面几点应该要稳妥些：1.在设计上url跳转还是尽量少用原始页面方式，可采用MVC这样的框架，把跳转交给具体的action类来实现.2、文件加密。假设页面源码给看到，里面引用到一些比较重要的文件，如js文件，那只有将文件进行加密或者混淆了。（呵呵，曾经研究过百度地图的JS文件，那叫一个乱啊，只好不了了之）第一个好办，严格开发规范即可，这第二条就不太容易了，不知可有更好的实现方式没有？