nginx 反代 tomcat 后， url 带斜杠出现源码下载漏洞

location / {
return 403;
}

测一下有没有走到里面

nginx 没配 root 也有个默认 root 的，也许就是跟 tomcat 一起了呢

强烈怀疑问题出在 Tomcat 及应用里，可能某个配置导致 Tomcat 直接按普通资源文件来处理 jsp 文件了，并没有走 jsp 的解析逻辑

你 tomcat 里面跑了多少项目啊？反代到 tomcat 根路径就好，简简单单的最不容易出问题，否则相对路径映射来映射去的就会出莫名其妙的问题
项目多就跑多个 tomcat 进程，用端口来区分明明白白的

为什么要 location /abc {};然后再 http://1.1.1.1:8080/abc;
直接这样不行吗？那个 abc
location ^~ /abc {
...
proxy_pass http://1.1.1.1:8080;
}

@skiy curl ng 地址是下载 curl tomcat 地址是 404

@jptx 直接访问 tomcat 地址没有问题呢 a.jsp/报 404

@zanelee
@lower tomcat 就一个应用，abc.war
tomcat 访问地址就是 1.1.1.1:8080/abc

@adoal 那我明天配个 root 看看

@eason1874 怎么打日志？访问 nginx 地址 http://host/abc/a.jsp/ 弹下载提示 是否下载 a.jsp_ 保存后就是 a.jsp 源码，名字多了个下划线
nginx 的日志 access.log tomcat 的日志 localhost_access_xx.txt 都没有日志记录
要在 jsp 里面用 java 代码输出 System.out.print? 我估计也不会打日志

先 curl 到 1.1.1.1:8080/abc/a.jsp/ 看是 404 还是下载源码。如果 404 ，tomcat 不背这个锅。下载源码的话，nginx 配置错了，上层 root 静态资源配置到 tomcat 去了？

@oneisall8955 先 curl 到 1.1.1.1:8080/abc/a.jsp/ 这个是 404
nginx Server 没配 root 地址，准备明天配一个看看

最简单的排查方法，让 tomcat 和 nginx 跑在不同的机器上，如果不能复现，说明就是 nginx 把 jsp 当成静态资源了，与反代无关

@FONG2 看我 12 楼的例子。这是我能跑的反代。另外，我记得 root 好像要必配的。你配置好时，有尝试 nginx -t 了没？有 reload 或者 restart nginx 了没？

感觉你配置得有问题。

@FONG2 可以试试把 tomcat 关了,请求 nginx/a.jsp/ 看看能不能下载, 还能下载就说明不是 tomcat 的事,nginx 配置的有问题,然后再依次检查 nginx 的配置

35L 的方法好，先把 tomcat 关了看能不能访问 .jsp 的代码

赞同 25 楼说的，http://1.1.1.1:8080/abc 这样不对，可能会导致 uri (/abc/a.jsp) append 到 /abc 后面

nginx rpm 版的默认 root 是 /usr/share/nginx

很可能只是配置错了，nginx 根本没有把请求给到后端，直接当作静态文件给下载了

@FONG2 #26 清除浏览器缓存试试?