用web.xml控制Web应用的行为（2）

用web.xml控制Web应用的行为（2）

2008-06-23 15:26

3.2 定义定制的URL  大多数 服务器具有一个缺省的serlvet URL：  http://host/webAppPrefix/servlet/packageName.ServletName。虽然在开发中使用这个URL很方 便，但是我们常常会希望另一个URL用于部署。例如，可能会需要一个出现在Web应用顶层的URL（如，http: //host/webAppPrefix/Anyname），并且在此URL中没有servlet项。位于顶层的URL简化了相对URL的使用。此外，对 许多开发人员来说，顶层URL看上去比更长更麻烦的缺省URL更简短。  事实上，有时需要使用定制的URL。比如，你可能想关闭缺省URL映射，以便更好地强制实施安全限制或防止用户意外地访问无初始化参数的servlet。如果你禁止了缺省的URL，那么你怎样访问servlet呢？这时只有使用定制的URL了。  为了分配一个定制的URL，可使用servlet-mapping元素及其servlet-name和url-pattern子元素。Servlet- name元素提供了一个任意名称，可利用此名称引用相应的servlet；url-pattern描述了相对于Web应用的根目录的URL。url- pattern元素的值必须以斜杠（/）起始。  下面给出一个简单的web.xml摘录，它允许使用URL http://host/webAppPrefix/UrlTest 而不是http://host/webAppPrefix/servlet/Test或  http://host/webAppPrefix/servlet/moreservlets.TestServlet。请注意，仍然需要XML头、 DOCTYPE声明以及web-app封闭元素。此外，可回忆一下，XML元素出现地次序不是随意的。特别是，需要把所有servlet元素放在所有 servlet-mapping元素之前。  <servlet>  <servlet-name>Test</servlet-name>  <servlet-class>moreservlets.TestServlet</servlet-class>  </servlet>  <!-- ... -->  <servlet-mapping>  <servlet-name>Test</servlet-name>  <url-pattern>/UrlTest</url-pattern>  </servlet-mapping>  URL模式还可以包含通配符。例如，下面的小程序指示 服务器发送所有以Web应用的URL前缀开始，以..asp结束的请求到名为BashMS的servlet。  <servlet>  <servlet-name>BashMS</servlet-name>  <servlet-class>msUtils.ASPTranslator</servlet-class>  </servlet>  <!-- ... -->  <servlet-mapping>  <servlet-name>BashMS</servlet-name>  <url-pattern>/*.asp</url-pattern>  </servlet-mapping>  3.3 命名JSP页面  因为JSP页面要转换成sevlet，自然希望就像命名servlet一样命名JSP页面。毕竟，JSP页面可能会从初始化参数、安全设置或定制的URL 中受益，正如普通的serlvet那样。虽然JSP页面的后台实际上是servlet这句话是正确的，但存在一个关键的猜疑：即，你不知道JSP页面的实 际类名（因为系统自己挑选这个名字）。因此，为了命名JSP页面，可将jsp-file元素替换为servlet-calss元素，如下所示：  <servlet>  <servlet-name>Test</servlet-name>  <jsp-file>/TestPage.jsp</jsp-file>  </servlet>  命名JSP页面的原因与命名servlet的原因完全相同：即为了提供一个与定制设置（如，初始化参数和安全设置）一起使用的名称，并且，以便能更改激活 JSP页面的URL（比方说，以便多个URL通过相同页面得以处理，或者从URL中去掉.jsp扩展名）。但是，在设置初始化参数时，应该注意，JSP页 面是利用jspInit方法，而不是init方法读取初始化参数的。  例如，程序清单5-3给出一个名为TestPage.jsp的简单JSP页面，它的工作只是打印出用来激活它的URL的本地部分。 TestPage.jsp放置在deployDemo应用的顶层。程序清单5-4给出了用来分配一个注册名PageName，然后将此注册名与http: //host/webAppPrefix/UrlTest2/anything 形式的URL相关联的web.xml文件（即，deployDemo/WEB-INF/web.xml）的一部分。  程序清单5-3 TestPage.jsp  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">  <HTML>  <HEAD>  <TITLE>  JSP Test Page  </TITLE>  </HEAD>  <BODY BGCOLOR="#FDF5E6">  <H2>URI: <%= request.getRequestURI() %></H2>  </BODY>  </HTML>  程序清单5-4 web.xml（说明JSP页命名的摘录）  <?xml version="1.0" encoding="ISO-8859-1"?>  <!DOCTYPE web-app  PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"  "http://java.sun.com/dtd/web-app_2_3.dtd">  <web-app>  <!-- ... -->  <servlet>  <servlet-name>PageName</servlet-name>  <jsp-file>/TestPage.jsp</jsp-file>  </servlet>  <!-- ... -->  <servlet-mapping>  <servlet-name> PageName </servlet-name>  <url-pattern>/UrlTest2/*</url-pattern>  </servlet-mapping>  <!-- ... -->  </web-app>  4 禁止激活器servlet  对servlet或JSP页面建立定制URL的一个原因是，这样做可以注册从init（servlet）或jspInit（JSP页面）方法中读取得初始 化参数。但是，初始化参数只在是利用定制URL模式或注册名访问servlet或JSP页面时可以使用，用缺省URL http://host/webAppPrefix/servlet/ServletName 访问时不能使用。因此，你可能会希望关闭缺省URL，这样就不会有人意外地调用初始化servlet了。这个过程有时称为禁止激活器servlet，因为 多数 服务器具有一个用缺省的servlet URL注册的标准servlet，并激活缺省的URL应用的实际servlet。  有两种禁止此缺省URL的主要方法：  l 在每个Web应用中重新映射/servlet/模式。  l 全局关闭激活器servlet。  重要的是应该注意到，虽然重新映射每个Web应用中的/servlet/模式比彻底禁止激活servlet所做的工作更多，但重新映射可以用一种完全可移植的方式来完成。相反，全局禁止激活器servlet完全是针对具体机器的，事实上有的 服务器（如ServletExec）没有这样的选择。下面的讨论对每个Web应用重新映射/servlet/ URL模式的策略。后面提供在Tomcat中全局禁止激活器servlet的详细内容。  4.1 重新映射/servlet/URL模式  在一个特定的Web应用中禁止以http://host/webAppPrefix/servlet/ 开始的URL的处理非常简单。所需做的事情就是建立一个错误消息servlet，并使用前一节讨论的url-pattern元素将所有匹配请求转向该 servlet。只要简单地使用：  <url-pattern>/servlet/*</url-pattern>  作为servlet-mapping元素中的模式即可。  例如，程序清单5-5给出了将SorryServlet servlet（程序清单5-6）与所有以http://host/webAppPrefix/servlet/ 开头的URL相关联的部署描述符文件的一部分。  程序清单5-5 web.xml（说明JSP页命名的摘录）  <?xml version="1.0" encoding="ISO-8859-1"?>  <!DOCTYPE web-app  PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"  "http://java.sun.com/dtd/web-app_2_3.dtd">  <web-app>  <!-- ... -->  <servlet>  <servlet-name>Sorry</servlet-name>  <servlet-class>moreservlets.SorryServlet</servlet-class>  </servlet>  <!-- ... -->  <servlet-mapping>  <servlet-name> Sorry </servlet-name>  <url-pattern>/servlet/*</url-pattern>  </servlet-mapping>  <!-- ... -->  </web-app>  程序清单5-6 SorryServlet.java  package moreservlets;  import java.io.*;  import javax.servlet.*;  import javax.servlet.http.*;  /** Simple servlet used to give error messages to  * users who try to access default servlet URLs  * (i.e., http://host/webAppPrefix/servlet/ServletName )  * in Web applications that have disabled this  * behavior.  * <P>  * Taken from More Servlets and JavaServer Pages  * from Prentice Hall and Sun Microsystems Press,  *  http://www.moreservlets.com/.  * © 2002 Marty Hall; may be freely used or adapted.  */  public class SorryServlet extends HttpServlet {  public void doGet(HttpServletRequest request,  HttpServletResponse response)  throws ServletException, IOException {  response.setContentType("text/html");  PrintWriter out = response.getWriter();  String title = "Invoker Servlet Disabled.";  out.println(ServletUtilities.headWithTitle(title) +  "<BODY BGCOLOR=\"#FDF5E6\">\n" +  "<H2>" + title + "</H2>\n" +  "Sorry, access to servlets by means of\n" +  "URLs that begin with\n" +  "http://host/webAppPrefix/servlet/\n" +  "has been disabled.\n" +  "</BODY></HTML>");  }  public void doPost(HttpServletRequest request,  HttpServletResponse response)  throws ServletException, IOException {  doGet(request, response);  }  }