Tomcat安全漏洞---取消目录访问

原文：https://blog.****.net/xiaokui_wingfly/article/details/46330583

原文：http://www.ibloger.net/article/300.html

打开   tomcat的安装目录/conf/web.xml 文件

找到如下配置：

<servlet>

        <servlet-name>default</servlet-name>

        <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

        <init-param>

            <param-name>debug</param-name>

            <param-value>0</param-value>

        </init-param>

        <init-param>

            <param-name>listings</param-name>

            <param-value>false</param-value>(默认是true，改为false)    

 //注意：如果这个地方是true，如果访问tomcat上的应用程序如果URL输入的是一个目录，而不是具体的文件，则会在浏览器上列出该目录下的文件列表，设置为false，就不会列出文件列表了

        </init-param>

        <load-on-startup>1</load-on-startup>

    </servlet>

实例： 我在Tomcat的wabapps目录中随便新建一个abc的文件夹，然后再新建一个X-rapido文件夹和HelloWorld.txt文件,文件内容随便写

如果将上述代码设置为true，返回效果如下图，我点击HelloWorld.txt 可以看到文件的内容。而实际项目中一般是不允许的，默认Tomcat也是禁用的

如果上述代码设置为false，将会返回404的显示，如图