TOMCAT設定特定目錄不得執行JSP及JSPX

如果網站允許使用者上傳檔案，通常會禁止上傳可執行檔(如jsp & jspx)，

除了檢查副檔名外，也可在app的web.xml加上以下設定，讓jsp/jspx變成唯讀：

<servlet>

        <servlet-name>DefaultServlet</servlet-name>

        <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

        <init-param>

            <param-name>readonly</param-name>

            <param-value>true</param-value>

        </init-param>

        <load-on-startup>1</load-on-startup>

    </servlet>

    <servlet-mapping>

        <servlet-name>DefaultServlet</servlet-name>

        <url-pattern>/path/to/upload/*</url-pattern>

    </servlet-mapping>

但像jspx一般也很少人會去寫，建議直接在tomcat/conf/web.xml禁用：

<servlet-mapping>

        <servlet-name>jsp</servlet-name>

        <url-pattern>*.jsp</url-pattern>

        <!--<url-pattern>*.jspx</url-pattern>-->

 </servlet-mapping>

letsencrypt憑證更新後，但伺服器(nginx/apache/tomcat)不會autoreload

letsencrypt更新了憑證後，web server並不會知道憑證要重新讀取， 此時可利用letsencrypt的hooks機制，

以nginx為例，在以下路徑寫一個可執行的shell script: 

/etc/letsencrypt/renewal-hooks/deploy/01-reload-nginx 

 ============================ 

#! /bin/sh 

set -e 

nginx -t

systemctl reload nginx

============================ 

 這樣每次renew憑證時，就會重新載入憑證了。 

 ref: 

https://eff-certbot.readthedocs.io/en/stable/using.html#renewing-certificates

https://www.guyrutenberg.com/2017/01/01/lets-encrypt-reload-nginx-after-renewing-certificates/

https://www.javatpoint.com/starting-and-restarting-nginx