如何保护你的JSP页面
来源:互联网 发布:淘宝店铺导航条隐藏 编辑:程序博客网 时间:2024/04/29 19:34
为了更好地保护你的JSP避免未经授权的访问和窥视, 一个好办法是将页面文件存放在Web应用的WEB-INF目录下。
通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。一个典型的商店应用程序的目录结构如图2所示。跟catalog (商品目录)相关的JSP被保存在catalog子目录下。跟customer相关的JSP,跟订单相关的JSP等都按照这种方法存放。
这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的controller直接调用JSP同样也是个问题。
为了减少风险,可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP。
采用前面的例子,图3显示将JSP页面移到WEB-INF 目录下后的目录结构
如果把这些JSP页面文件移到WEB-INF 目录下,在调用页面的时候就必须把"WEB-INF"添加到URL中。例如,在一个Struts配置文件中为一个logoff action写一个Action mapping。其中JSP的路径必须以"WEB-INF"开头。如下所示:请注意粗体部分.
这个方法在任何情况下都不失为Struts实践中的一个好方法。是唯一要注意的技巧是你必须把JSP和一个Struts action联系起来。即使该Action只是一个很基本的很简单JSP,也总是要调用一个Action,再由它调用JSP。
最后要说明的是,并不是所有的容器都能支持这个特性。WebLogic早期的版本不能解释Servlet声明,因此无法提供支持,据报道在新版本中已经改进了。总之使用之前先检查一下你的Servlet容器。
- 如何保护你的JSP页面
- 保护你的JSP页面避免未经授权的访问和窥视
- 如何保护你的API
- 如何调整液晶显示器保护你的视力
- 如何保护你脆弱的肾脏
- 如何保护你的在线隐私
- 如何保护你的家用路由器?
- 如何保护你的linux操作系统
- 如何保护你的隐私(一)
- 如何保护你的隐私(二)
- 揭露黑客是如何通过上传一个jsp页面控制和攻击你web站点的(含jsp代码)
- 如何保护你的unix、Linux和mac的servers
- 保护JSP页面不被非法访问
- 如何保护你的博客及其一切衍生权利
- 如何保护你的Flash源代码与资源
- 长期带眼镜如何保护你观赏世界的眼睛
- 如何保护你的多个网络账号
- 移动安全时代,如何保护你的app
- 状态栏动态显示文本
- SGI STL到VC下的移植方法
- Eclips使用秘技
- 优化JDBC性能的三大技巧
- python学习笔记1
- 如何保护你的JSP页面
- 有关J2SE的一些东西
- 打开一个无工具栏的窗口的问题
- Axis环境之下实现web services调用EJB
- ZSChatServer线程设计模型
- 流浪的承诺
- XML数据的底层结构之DTD(理论部分)
- 管理 XML 数据: 标签 URI
- XML数据的底层结构之DTD(实践部分)