Pessoal, alguem poderia me dar algumas dicas para configurar o web.xml para impor recursos de segurança no Tomcat. O lance é que um colega, conseguiu baixar os meus arquivos .jsp do servidor, alguém poderia me dizer como ele conseguiu fazer isto ?
Quando habilito o esquema de segurança, o Tomcat não libera nada mais dentro da pasta, eu, só gostaria de deixar liberado para o usuário a possibilidade de executar(rodar), mas totalmente bloqueado a possibilidade do cara ver o .jsp ou de baixá-lo ? Como faço isto ?
Alguém poderia me explicar as linhas abaixo do meu web.xml:
Principalmente estas 3 linhas:
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
Um exemplo do meu web.xml
<?xml version=“1.0” encoding=“ISO-8859-1”?>
<!DOCTYPE web-app
PUBLIC “-//Sun Microsystems, Inc.//DTD Web Application 2.2//EN”
“http://java.sun.com/j2ee/dtds/web-app_2_2.dtd”>
<web-app>
<display-name>Controle Acadêmico - Univás</display-name>
<session-config>
<session-timeout>30</session-timeout>
</session-config>
<!-- REGRAS DE SEGURANÇA -->
<security-constraint>
<web-resource-collection>
<web-resource-name>seguranca</web-resource-name>
<url-pattern>conecta/*</url-pattern>
<url-pattern>jsp/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<role-name>administrador</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<realm-name></realm-name>
<auth-method>BASIC</auth-method>
</login-config>
</web-app>
