Cacher le code source des JSPF

Guillaume Gautier · le 10/09/14 à 18:33

Bonjour,

Sur nos sites, l'accès au code source des fichiers JSPF est possible en indiquant directement l'URL du fichier dans la barre d'adresse du navigateur. Pour raison de sécurité nous désirons empêcher celà. Quelle est votre recommandation ? J'imagine que celà est gérable par un paramétrage dans la configuraiton Apache ou Tomcat.

Nous sommes sur JCMS 8.0.2 / Tomcat 6.

À noter que le site de Jalios a ce souci :

https://www.jalios.com/jcore/doAjaxFooter.jspf

#1

Bonjour,

Pouvez-vous créer un ticket dans votre espace de support dédié ? Merci d'avance.

Xuan Tuong LE · le 11/09/14 à 12:11
20 pts
Ronan Kerdudou - le 15/12/16 à 12:46
Meilleure réponse

Résolu à partir de la vesion 9 SP1.

Voir issue JCMS-2940.

8 pts
Thomas LEGAT · le 11/09/14 à 09:25

Une ServletFilter qui checkerais l'accès au fichier jspf pourrait répondre à votre besoin?

0 pt
thomas lavocat · le 11/09/14 à 11:53

Bonjour,

Il y a quelques éléments de réponse sur StackOverflow :

http://stackoverflow.com/questions/2081005/what-is-jspf-file-extension-how-to-compile-it

Je cite :

"You'll note that this example comes from the /WEB-INF/jspf directory. This means that it is not accessible outside of the web application; there's no way to construct a URL that can retrieve it. If you put them in the same directory as "normal" JSP files, you can construct such a URL; Tomcat, for example will retrieve the page as a text document. A front-end web-server, however, can block these URLS."

De ce que je comprend, les jspf ne sont pas compilées en tant que telle et si elle sont rangées ailleurs que dans /WEb-INF/jspf alors il est possible de forger une URL qui pointe directement dessus.

La question est, dans quel cas avez vous une URL qui pointe sur une jspf ?

Ou est-ce que votre question concerne uniquement le cas où une personne forgerait lui même l'URL pour arriver sur une jspf ?

Il parle aussi d'un FrontEnd server qui bloquerait ce genre d'URL, un bout de conf dans tomcat ou dans un apache qui redirigerait tout ce qui se termine par *.jspf vers une erreur ?

Ou sinon vous pouvez mettre en place un mécanisme de redirection sur JCMS.

0 pt
Guillaume Gautier · le 11/09/14 à 12:26

Bonjour,

Merci pour vos réponses, nous avons besoin d'une procédure complète que nous pourrons déployer sur tous nos sites. Je vais créer un ticket.

0 pt