05/09/29 22:55:51
>>718
サンプルアプリケーションの作りを問題にしているのではなく、
FacesServletのURLパターンマッピングを/hoge/* にするとWEB-INFの下が
丸見えになってしまうことが問題なのだよ。
MyFacesの実装でも同じ。FacesServletのURLパターンマッピングを
/hoge/*にするとWEB-INFの下が丸見えになってしまう。
これまでの常識だとクライアントから直接アクセスされたくないリソースは
/WEB-INFの下に置いておけ、というのが常套手段だったわけだが、そうも
いかなくなってしまったことが問題。
> 設定次第でそうなる事は普通に考えて分かるんだから、
とあるが、Strutsなどを使っていたときはそんなこと考えもしなかったし
考える必要もなかった。今まで考えなくて良かったことを考えて対策しなければ
ならなくなった。<security-constraint>でアクセス制限するとか、
ServletFilterを自作するとか。