05/09/29 16:59:23
>>716
> 設定次第でそうなる事は普通に考えて分かるんだから、
設定次第じゃなくて、デフォルトの動作がそうなってるんだからみんなビックリなんじゃないの?
今まで、デフォルトで/WEB-INF以下に自由にアクセスされるような動きをするフレームワークがあったか?
で、適切な設定って何?
JSF RI付属のサンプルでは<security-constraint>にアクセス制御するURLパターンをずらずら下記並べているが、これが適切な設定?
それとも、ServletFilterを自作して、アプリケーション側で独自にURL判定をするロジックを実装するのが適切な設定?