昨日作ったJspClassServletを修正。
このクラスでは、test/hoge.jspというURIはtest.hoge_jspというクラスを呼び出す。
そして、WEB-INF/common.jspはWEB_002dINF.common_jspというクラスになる。
で、WEB-INF配下のファイルにはクライアントから直接アクセスできてはいけない。
直接WEB-INF/common.jspを開こうとすると制限されてアクセスできないので問題ないのだが。(そもそもサーブレットが呼び出されない)
ところが、WEB_002dINF/common.jspとされるとWEB_002dINF.common_jspにアクセスできてしまう!
そこで、WEB_002dINFから始まるURIはエラーになるように修正した。
こういうセキュリティーホールは、気をつけないと他にもありそうだなぁ。
ってまぁ別に本格的に使おうとしてる訳でも無いけど。