jsp网站安全攻略-----页面失效

                            jsp网站开发安全知道---”页面失效“

             很多时候我们都遇到过这样的事情，我们网站页面跳转回去之后页面还保留着个人信息。 问题导致的原因有三：一、有些浏览器会自动保存密码和帐号到cookies中，

二、很多时候我们传值传参都是用的session,三、我们忘了使用一些加密错失（MD5加密）

 下面我们介绍一种常用的网站安全技巧：

 让页面失效。

 第一种方法:使用javascript是页面自动重载（如果客户端禁用了脚本就完全无用了）

 第二种方法如下：

   服务端方法：
<％
response.setHeader("Pragma","No-cache");
response.setHeader("Cache-Control","no-cache");
response.setDateHeader("Expires", -10);
％>
在登陆页面和登陆后页面均加入这段代码即可
注意，一定要在登陆页面（或类似功能的页面使session无效）


客户端方法：


meta是用来在HTML文档中模拟HTTP协议的响应头报文。meta 标签用于网页的＜head＞与＜/head＞中，meta 标签的用处很多。meta 的属性有两种：name和http-equiv。name属性主要用于描述网页，对应于content（网页内容），以便于搜索引擎机器人查找、分类（目前几乎所有的搜索引擎都使用网上机器人自动查找meta值来给网页分类）。这其中最重要的是description（站点在搜索引擎上的描述）和keywords（分类关键词），所以应该给每页加一个meta值。比较常用的有以下几个：
name 属性


1、＜meta name="Generator" contect=""＞用以说明生成工具（如Microsoft FrontPage 4.0）等；


2、＜meta name="KEYWords" contect=""＞向搜索引擎说明你的网页的关键词；


3、＜meta name="DEscription" contect=""＞告诉搜索引擎你的站点的主要内容；


4、＜meta name="Author" contect="你的姓名"＞告诉搜索引擎你的站点的制作的作者；


5、＜meta name="Robots" contect=


"all|none|index|noindex|follow|nofollow"＞


其中的属性说明如下：


设定为all：文件将被检索，且页面上的链接可以被查询；


设定为none：文件将不被检索，且页面上的链接不可以被查询；


设定为index：文件将被检索；


设定为follow：页面上的链接可以被查询；


设定为noindex：文件将不被检索，但页面上的链接可以被查询；


设定为nofollow：文件将不被检索，页面上的链接可以被查询。


http-equiv属性


1、＜meta http-equiv="Content-Type" contect="text/html";charset=gb_2312-80"＞


和 ＜meta http-equiv="Content-Language" contect="zh-CN"＞用以说明主页制作所使用的文字以及语言；


又如英文是ISO-8859-1字符集，还有BIG5、utf-8、shift-Jis、Euc、Koi8-2等字符集；


2、＜meta http-equiv="Refresh" contect="n;url=http://yourlink"＞定时让网页在指定的时间n内，跳转到页面http;//yourlink；


3、＜meta http-equiv="Expires" contect="Mon,12 May 2001 00:20:00 GMT"＞可以用于设定网页的到期时间，一旦过期则必须到服务器上重新调用。需要注意的是必须使用GMT时间格式；


4、＜meta http-equiv="Pragma" contect="no-cache"＞是用于设定禁止浏览器从本地机的缓存中调阅页面内容，设定后一旦离开网页就无法从Cache中再调出；


5、＜meta http-equiv="set-cookie" contect="Mon,12 May 2001 00:20:00 GMT"＞cookie设定，如果网页过期，存盘的cookie将被删除。需要注意的也是必须使用GMT时间格式；


6、＜meta http-equiv="Pics-label" contect=""＞网页等级评定，在IE的internet选项中有一项内容设置，可以防止浏览一些受限制的网站，而网站的限制级别就是通过meta属性来设置的；


7、＜meta http-equiv="windows-Target" contect="_top"＞强制页面在当前窗口中以独立页面显示，可以防止自己的网页被别人当作一个frame页调用；


8、＜meta http-equiv="Page-Enter" contect="revealTrans(duration=10,transtion=


50)"＞和＜meta http-equiv="Page-Exit"


contect="revealTrans(duration=20，transtion


=6)"＞设定进入和离开页面时的特殊效果，这个功能即FrontPage中的“格式/网页过渡”，不过所加的页面不能够是一个frame页面。


上面是从网上弄到的信息。


我使用的开发工具是MyEclipse,当我创建一个Jsp页面时,MyEclipse就会为我自动创建一个模版,如:
1.MyJsp.jsp:
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">   
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">
<body>
   <html:form action="userAction">
    Username:<html:text property="username"></html:text>
    <html:submit value="提交"/>
   </html:form>
</body>


2.MyJsp1.jsp:
<meta http-equiv="pragma" content="no-cache">
<meta http-equiv="cache-control" content="no-cache">
<meta http-equiv="expires" content="0">   
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="This is my page">
 <body>
    username:${requestScope.userForm.username}
 </body>


3.struts-config.xml:
<form-beans>
   <form-bean name="userForm" type="com.andy.struts.form.UserForm"></form-bean>
</form-beans>
<forward name="toMyJsp1" path="/MyJsp1.jsp"></forward>
<action-mappings>
   <action path="/userAction" type="com.andy.struts.action.UserAction" name="userForm" scope="request" validate="true">
   </action>
</action-mappings>


4.UserForm:
package com.andy.struts.form;


import javax.servlet.http.HttpServletRequest;


import org.apache.struts.action.ActionForm;
import org.apache.struts.action.ActionMapping;


public class UserForm extends ActionForm {
    private String username=null;
  
    public String getUsername() {
  return username;
 }
 public void setUsername(String username) {
  this.username = username;
 }
}