我使用Linux+Apache+Tomcat配置了JSP环境，但我在浏览器中输入：
http://localhost/WEB-INF/web.xml
确能看到web.xml的文件内容！

请问怎样解决这个漏洞？

我怎么没有遇到这个问题呢？
我的配置是redhat 7.1 +apache 1.3.19+tomcat 3.2
tomcat的webapps下的文件的拥有者是root，目录的权限都是755，文件的权限都是544，tomcat使用root身份启动的，apache使用系统服务方式启动
其它的都是缺省配置
httpd.conf的tomcat配置部分的内容：
  LoadModule    jk_module  modules/mod_jk.so
  AddModule mod_jk.c
  JkWorkersFile /usr/tomcat/conf/workers.properties
  JkLogFile     /var/log/httpd/mod_jk.log
  JkLogLevel    warn
# include /usr/tomcat/conf/tomcat-apache-custom.conf
  include /usr/tomcat/conf/mod_jk.conf-auto
其它的都没有变化，xml文件是不能访问的，访问时将报告fobbiden错误

这不是漏洞了，绑定以后，遇到servlet或是.jsp的话apache会交给tomcat模块去处理，但是xml的文件自然就由apache来处理了，所以会看到文件内容。

你试试在apache里面配一下，比如配这个WEB-INF目录的安全，或是配.xml，应该ok的。（我对apache不是太熟）

在apache作这个目录的验证
================================================================

CSDN 论坛助手 Ver 1.0 B0402提供下载。 改进了很多，功能完备！

★  浏览帖子速度极快！[建议系统使用ie5.5以上]。 ★  多种帖子实现界面。 
★  保存帖子到本地[html格式]★  监视您关注帖子的回复更新。
★  可以直接发贴、回复帖子★  采用XML接口，可以一次性显示4页帖子,同时支持自定义每次显示帖子数量。可以浏览历史记录！ 
★  支持在线检测程序升级情况，可及时获得程序更新的信息。

★★ 签名  ●  
     可以在您的每个帖子的后面自动加上一个自己设计的签名哟。

Http://www.ChinaOK.net/csdn/csdn.zip
Http://www.ChinaOK.net/csdn/csdn.rar
Http://www.ChinaOK.net/csdn/csdn.exe    [自解压]