Tomcat 7新特性

最新推荐文章于 2024-09-19 14:32:29 发布
最新推荐文章于 2024-09-19 14:32:29 发布
阅读量1k 收藏
点赞数 1
文章标签: tomcat session servlet outofmemoryerror http服务器 apache

Apache发布首个Tomcat 7版本已经发布了有一段时间了,Tomcat 7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述Tomcat 7中七个最显著的特征和新增的功能,并对其作出评论,而不是仅仅列出新的功能。本文还提供了代码例子以方便你可以对其有更好的理解。

本文分为两个部分,分别是”Tomcat 7的新特性”和“Tomcat 7增强的功能”。

Tomcat 7新特性

1 使用随机数去防止跨站脚本攻击。

2 改变了安全认证中的jessionid的机制,防止session攻击。

3 内存泄露的侦测和防止

4 在war文件外使用别名去存储静态内容。

Tomcat 7的增强功能

5 对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持

6 更容易将Tomcat内嵌到应用去中去,比如JBoss

7 异步日志记录

根据Mark Thomas,Tomcat 7委员会的经理的说法,Tomcat 7最显著的三个特征是Servlet 3.0,内存检测泄露和增强的安全特性。

Tomcat 7的例子程序中,包含了Eclipse的工程文件和Ant的构建文件,以方便去构建war文件。其中Eclipse工程文件有例子代码描述了Tomcat 7的一些新特性。

下面逐一开始介绍。

Tomcat 7新特性

一、使用随机数去防止跨站请求伪造攻击

Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。

经典的防止CSRF攻击的方法是使用随机数的方式,Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中,以确保旧的不能在以后的重放攻击中被利用。”

Tomcat 7中有一个servlet过滤器,用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数,必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的,该请求是判断来自指定的网站。如果它们是不同的,该请求被认为是从其他网站发出并且会被拒绝。

这个servlet过滤器是十分简单的,下面是从TOMCAT 源代码CsrfPreventionFilter文档中摘录的片段:

  
  
  1. public class CsrfPreventionFilter extends FilterBase {  
  2.  
  3. public void doFilter(ServletRequest request, ServletResponse response,  
  4. FilterChain chain) throws IOException, ServletException {  
  5.  
  6. String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM);  
  7. String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);  
  8.  
  9. if (expectedNonce != null && !expectedNonce.equals(previousNonce)) {  
  10. res.sendError(HttpServletResponse.SC_FORBIDDEN);  
  11. return;  
  12. }  
  13.  
  14. String newNonce = generateNonce();  
  15. req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce);  
  16.  

所以每个URL地址中都有一个从用户session中提取的随机数,下面是使用的JSTL例子:

在以前,JSTL中构造链接可以这样:

  
  
  1. < c:url var="url" value="/show" > 
  2. < c:param name="id" value="0" / > 
  3. < /c:url > 
  4. < a href="${show}" >Show< /a > 
  5.  

而现在可以这样:

  
  
  1. < c:url var="url" value="/show" > 
  2. < c:param name="id" value="0" / > 
  3. < c:param name="org.apache.catalina.filters.CSRF_NONCE" value="${session.org.apache.catalina.filters.CSRF_NONCE}" / > 
  4. < /c:url > 
  5.  

具体的例子可以参考Tomcat 7自带例子中的演示,这个过滤器可以在web.xml中进行配置,配置后,所有访问如:http://localhost:8080/tomcat7demo/csrf/的都必须带上参数,不带上参数的话会出现403禁止访问错误。

当然这种方法的缺点就是所有的链接都必须带上这个随机数。

二、改变了安全认证中的jessionid的机制,防止session攻击

Session劫持攻击通常是以下的情况:

1 恶意攻击者先访问一个网页,由于cookie是以jsession id的方式存储在浏览器中的,即使攻击者不登陆,他可以伪造一个带有jsession id的地址,把它发给受害者,比如:http://example.com/login?JESSIONID=qwerty

2 受害者点这个带有jsessionid的链接,提示输入验证信息之后就登陆系统。

3 攻击者现在使用这个带jsessionid的链接,以受害者的身份登陆进系统了。

对于攻击者来说,将jsessionid加在url中以及通过一个恶意表单发送出去是很容易的事,对于session劫持攻击的更详细描述,请参考Acros Security组织的白皮书“Session Fixation Vulnerability in Web-based Applications”。

Tomcat 7对此的解决方案是一个补丁,它在验证后改变了jsessionid。这个补丁主要是应用在Tomcat 7中,当然在TOMCAT 5和6中也可以使用但只是有些不同。

根据Mark Thomas说的,应用了Tomcat 7的这个补丁后:

◆ TOMCAT默认情况下安全性不再变得脆弱,因为验证后会话发生了变化

◆ 如果用户改变了默认设置(比如应用程序不能处理变化了的session id),风险也会降到最小,因为在Servlet 3中,可以禁止在url中进行会话跟踪。

而在TOMCAT 5和TOMCAT 6中,应用了补丁后:

◆ 能阻止session劫持攻击,因为能让TOMCAT在验证后改变session id。

◆ 如果应用程序不能处理变化了的session id,可以通过写自定义的过滤器去检查request.isRequestedSessionIdFromURL()和其返回的结果,以降低风险。

以上这些改变都是TOMCAT在幕后所做的,开发者根本不用去理会。

三、内存泄露的侦测和防止

开发者在部署他们写的程序到生产环境上时,经常会遇到Pemgen错误:OutOfMemoryError。这是由于内存泄露而引起的。通常开发者是通过增大permgen内存的大小去解决或者就是重新启动tomcat。

Tomcat 7包含了一个新的特性,它通过把不能垃圾回收的引用对象移走的方法,能解决一些Permgen内存泄露的问题。这个特性对程序员部署应用程序在他们的开发环境中是十分方便的,因为程序员在开发环境中为了节省时间一般不重新启动Tomcat就能部署新的war文件。在生产环境中,最好的建议还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。

当然,内存泄露检测和防止这个特性现在还不是很完善,还是有的情况TOMCAT不能检测内存泄露和修复之的,所以对于生产环境,最好的的办法还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。

Mark Thomas解析应用程序或者库程序在如下情况下会触发内存泄露:

◆ JDBC驱动的注册

◆ 一些日志框架

◆ 在ThreadLocals中保存了对象但没有删除它们

◆ 启动了线程但没停止

而 Java API 存在内存泄漏的地方包括:

1.使用 javax.imageio API ( Google Web Toolkit会用到)

2.使用 java.beans.Introspector.flushCaches()

3.使用 XML 解析器

4.使用 RMI 远程方法调用

5.从 Jar 文件中读取资源

四、在war文件外使用别名去存储静态内容

Web应用程序需要静态资源文件,比如象CSS,Javascript和视频文件、图片文件等。通常都把它们打包放在war文件中,这将增加了WAR文件的大小并且导致很多重复的加载静态资源。一个比较好的解决方法是使用Apache HTTP服务器去管理这些静态文件资源,下面是一个apache httpd.conf文件的配置摘录:

  
  
  1. < Directory "/home/avneet/temp/static" > 
  2. Order allow,deny  
  3. Allow from all  
  4. < /Directory > 
  5. Alias /static "/home/avneet/temp/static"  
  6.  

以上的设置,使得访问http://localhost/static时,能访问到放在/home/avneet/temp/static下的资源。

允许使用新的aliases属性,指出静态文件资源的位置,可以通过使用Classloader.getResourceAsStream('/static/...')或者在链接中嵌入的方法让TOMCAT去解析绝对路径,下面是一个在context.xml中配置的例子:

  
  
  1. < ?xml version="1.0" encoding="UTF-8"> 
  2. < Context path="/tomcat7demo" aliases="/static=/home/avneet/temp/static" > 
  3. < /Context > 
  4.  

假设/home/avneet/temp/static这个文件夹存放有一张图片bg.png,如果war文件以tomcat7demo的名字部署,那么可以通过以下三个方式去访问这张图片

1 直接访问:http://localhost:8080/tomcat7demo/static/bg.png

2 在HTML链接中访问:

  
  
  1. < img src="/tomcat7demo/static/bg.png" / > 

3 通过JAVA代码访问:

  
  
  1. ByteArrayInputStream bais = (ByteArrayInputStream)getServletContext().getResourceAsStream("/static/bg.png");  

使用aliases的好处是可以代替Apache的httpd.conf的设置,并且可以在servlet容器范围内访问,并且不需要Apache。

Cike121272604
关注
SpringSecurity 配置(登陆验证,session失效等等)
共勉
09-28 2012
SpringSecurity安全配置—SSH整合 项目中使用了SpringSecurity,将SpringSecurity安全配置整理出来,实现SpringSecurity安全配置登陆,供需要的朋友参考 使用Springsecurity首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-secur...
tomcat 7 最新版本 apache-tomcat-7.0.109
07-07
Tomcat 7的核心特性包括: 1. **Servlet 3.0支持**:Tomcat 7全面支持Servlet 3.0规范,这引入了诸如异步处理、注解配置、动态部署等功能,提高了Web应用的开发效率和性能。 2. **JSP 2.2支持**:它包含对JSP 2.2...
jsessionid存在的问题及其解决方案
To Be the OnE
06-24 2329
jsessionid是Java Web Server(即Servlet/JSP Server)中为了防止客户端屏蔽cookie而在URL中放置的sessionid的统称。支持Servlet标准的Web容器,例如Tomcat,都支持以URL重写的方式在URL中加入jsessionid。目前在大量的网站中都有用到,但是其存在的一些问题被越来越多的人认为是有害的,并且建议不适用jsessionid。 ...
springsecurity 不允许session并行登录_结合Spring Security进行web应用会话安全管理
weixin_39849894的博客
12-08 495
结合Spring Security进行web应用会话安全管理在本文中,将为大家说明如何结合Spring Security 管理web应用的会话。如果您阅读后觉得本文对您有帮助,期待您能关注、转发!您的支持是我不竭的创作动力!一、Spring Security创建使用session的方法Spring Security提供4种方式精确的控制会话的创建:always:如果当前请求没有session存在,...
禁用cookie如何使用session
nihaowoshiyudong的博客
12-14 920
1.Cookie禁用如何来使用HttpSession服务器端会话对象呢? 之前我们提到了浏览器独享的HttpSession对象是通过JSESSIONID这个cookie来找到的。那么当浏览器端禁用了cookie时,我们浏览器就不能正常的存储我们的cookie,在发出请求时也不会带上我们的JSESSIONID这个cookie,那么也就无法找到浏览器独享的HttpSession对象了。那么有什么解决
关于使用SpringSecurity不能设置Session并发无效、剔除前一个用户无效的核心解决方案
热门推荐
xusanhong的博客
11-21 1万+
那些年掉过SpringSecurity的坑。 最近在研究SpringBoot集成SpringSecurity权限框架的Demo,关于怎么集成,网上一大片的文章,我就不废话多说了,自行百度解决。 我使用的是注解配置,类继承WebSecurityConfigurerAdapter适配器,重写configure(HttpSecurity http)方法配置参数等。 然后是继承Use
TOMCAT 7新特性
pioneer的专栏
03-07 646
英文原文:Top 7 Features in Tomcat 7: The New and the Improved   Tomcat的7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述TOMCAT 7中七个最显著的特征和新增的功能,并对其作出评论,而不是仅仅列出新的功能。本文还
Tomcat 7 的七大新特性
学英语的程序员
03-14 540
Tomcat的7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述TOMCAT 7中七个最显著的特征和新增的功能,并对其作出评论,而不是仅仅列出新的功能。本文还提供了代码例子以方便你可以对其有更好的理解。   本文分为两个部分,分别是”TOMCAT 7的新特性”和“TOMCAT 7增强的功...
Tomcat7最新
02-05
- **更好的兼容性**:Tomcat 7.0.10与Java 6和Java 7保持良好兼容,同时也支持最新的Java EE 6规范,包括WebSocket等新特性。 - **管理工具改进**:提供更强大的管理工具,如Tomcat Manager和Host Manager,方便...
tomcat7,TOMCAT7 7新特性_WEB服务器_网站架构_文档_源码天空
10-31
tomcat7,TOMCAT7 7新特性_WEB服务器_网站架构_文档_源码天空
tomcat 7 和 tomcat 8
04-17
2. Java EE支持Tomcat 7支持Servlet 3.0、JSP 2.2、EL 2.2和WebSocket 1.0等规范,使得开发者能够利用新的特性进行Web应用开发。 3. NIO(非阻塞I/O)改进:Tomcat 7增强了NIO连接器,提高了服务器处理并发请求的...
TOMCAT 7 7大新特性
jackyrongvip的专栏
09-29 414
本文是本人翻译老外的文,翻译文已发表在 http://tech.it168.com/a2010/0925/1107/000001107436.shtml Tomcat的7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述TOMCAT 7中七个最显著的特征和新增的功能,并对其作出评论,...
MyBatis系统学习(四)——MyBatis的关联映射和缓存机制
2301_79858914的博客
09-16 1269
一对一(One-to-One):两个表中一条记录对应另一个表中的一条记录。一对多(One-to-Many):一个表中一条记录对应另一个表中的多条记录。多对多(Many-to-Many):两个表中的多条记录彼此关联。使用resultMap标签进行复杂的对象关系映射。通过注解来实现简单的映射。动态 SQL:MyBatis 提供了ifchoosewhenforeach等标签来处理动态 SQL,满足多变的业务需求。resultMap的使用resultMap。
HTTP&Tomcat
Dongdong20021203的博客
09-15 1778
Web是全球广域网,也称为万维网(www),能够通过浏览器访问的网站。在我们日常的生活中,经常会使用浏览器去访问百度京东传智官网等这些网站,这些网站统称为Web网站。如下就是通过浏览器访问传智官网的界面:我们知道了什么是Web,那么JavaWeb又是什么呢?顾名思义JavaWeb就是用Java技术来解决相关web互联网领域的技术栈。等学习完JavaWeb之后,同学们就可以使用Java语言开发我们上述所说的网站。而国内很多大型网站公司也是首选Java语言来解决web互联网相关的问题。
【MyBatis】Java 数据持久层框架:认识 MyBatis
书山有路,学海无涯。记录成长,追逐梦想
09-15 1153
MyBatis 和 JPA 一样,也是一款优秀的持久层框架,它支持定制化 SQL、存储过程,以及高级映射。它可以使用简单的 XML 或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通 Java 对象)映射成数据库中的记录。
Tomcat_WebApp
gege_0606的博客
09-15 906
这个目录包含启动和关闭 Tomcat 的脚本。这是 Tomcat 的配置文件目录,里面的文件用来配置服务器的行为。这个目录包含 Tomcat 运行时需要的 Java 类库和依赖包。大多数情况下,你不需要改动这个目录,它已经包含了 Tomcat 必需的库文件。Tomcat 的日志文件会存放在这里。你可以通过查看这些日志来了解服务器的运行状态、错误信息以及访问记录。这是 Tomcat 临时文件的存放目录。在运行 Web 应用时,有些临时文件会存储在这个目录中。这个目录是 Web 应用程序的部署目录。
[苍穹外卖]-12Apache POI入门与实战
CSDN20221005的博客
09-16 748
Apache POI是一个处理Office各种文件格式的开源项目, 我们可以使用POI在java程序中对Office的各种文件进行读写操作, 一般情况下, POI都是用于读写Excel文件。设计Excel模版文件, 以简化代码, 降低编码难度, 模版文件放在resources/template/运行数据报表模版.xlsx。接口设计: 该接口无需返回数据, 报表导出功能本质是文件下载, 服务端通过输出流将Excel文件下载到客户端浏览器即可。快速入门: 引入坐标, 编写测试方法, 写入和读取Excel文件。
Apache的ab压力测试工具与性能监控
最新发布
brucexia的专栏
09-19 969
(4)每秒收到的请求的统计信息:0.0513 requests/sec - 105 B/second - 2048 B/request,表示平均每秒收到0.0513个请求,平均每秒收到的请求流量为105字节,每个请求的平均大小为2048字节。(5)请求的处理情况:1 requests currently being processed, 8 idle workers,表示目前1个请求正在被处理(状态为w,表示处理发送回复状态),目前有8个线程处于空闲状态。(3)CPU Usage:CPU的使用情况。
JavaOne 2010:下一代JVM语言探讨与Tomcat 7新特性
Tomcat7的发布也在同一时期引起了关注,文章详细列出了其七大新特性,这些特性可能涵盖了安全增强、性能提升、更好的错误处理机制以及对Web应用程序开发的支持改进。例如,可能包括了HTTP/2支持、SSL/TLS增强、更...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值