保护JSP页面不被非法访问

最新推荐文章于 2021-09-22 16:32:25 发布
最新推荐文章于 2021-09-22 16:32:25 发布
阅读量1.5k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gkyh899/article/details/12982587
版权
      为了更好地保护你的JSP避免未经授权的访问和窥视, 一个好办法是将页面文件存放在Web应用的WEB-INF目录下。
      通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。一个典型的商店应用程序的目录结构如图2所示。跟catalog (商品目录)相关的JSP被保存在catalog子目录下。跟customer相关的JSP,跟订单相关的JSP等都按照这种方法存放。
 
基于不同的功能 JSP 被放置在不同的目录下
 
  这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的controller直接调用JSP同样也是个问题。
为了减少风险,可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP。
 
 
JSP存放在 WEB-INF 目录下更为安全
 
  如果把这些JSP页面文件移到WEB-INF 目录下,在调用页面的时候就必须把"WEB-INF"添加到URL中。例如,在一个Struts配置文件中为一个logoff action写一个Action mapping。其中JSP的路径必须以"WEB-INF"开头。如下所示:请注意粗体部分.
 
  这个方法在任何情况下都不失为Struts实践中的一个好方法。是唯一要注意的技巧是你必须把JSP和一个Struts action联系起来。即使该Action只是一个很基本的很简单JSP,也总是要调用一个Action,再由它调用JSP。
gkyh899
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止用户直接访问有关jsp页面的几种办法
xiantingxinbuone的专栏
08-18 8614
防止用户直接访问jsp页面的几种办法:   1.把JSP页面放在WEB-INF目录下,存放在此目录或者它的子目录里的任何东西都受到了保护。不过,不太推荐,因为并非所有的容器都具有这种保护机制,例如WebLogic就做不到这一点。   2.使用servlet过滤器来过滤对jsp页面的请求.   3.在部署文件web.xml中使用安全限制.这个比过滤器容易,不用另外编写一个过滤器了.配置如
SpringBoot项目如何访问jsp页面的示例代码
10-19
本篇文章主要介绍了SpringBoot项目如何访问jsp页面的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
防止用户直接输入地址访问jsp文件
08-09
网站可以由多个动态页面组成,并且每一个动态页面直接都存在着联系。为了保证网站内信息资源的安全,程序员应禁止浏览者不通过登录页面而强行进入其他页面进行浏览。
(转)常见Web安全漏洞
u014538198的专栏
11-29 4122
原文链接:http://www.ibm.com/developerworks/cn/web/1012_weiqiang_webattack/   简介: Web 安全问题,很多时候会被程序员所忽略,因为他们相信会有专业的运维人员或者安全服务团队帮助他们寻找漏洞,并且指导他们修改这些漏洞。而对于小公司,没有这样专业的人员又怎么办呢?安全漏洞造成了很多不必要的维护和开发任务,产生的问题有时
jsp访问url路径隐藏
haha57的博客
07-14 5543
最近在研究隐藏url路径,上网借鉴了别人的方法,使用urlrewritefilter-4.0.3.jar,urlrewritefilter的原理使用的是java的过滤器Filter。具体配置方法如下: 1.引入jar包 jar包链接https://download.csdn.net/download/u012995995/10543568 2.配置web.xml文件 <!-- ur...
jsp实现登录验证功能并且防止绕过登录页面
Chanefly的博客
03-29 3171
jsp实现登录验证功能并且防止绕过登录页面进入信息页 这个项目我分了三个部分,login.jsp 、verify.jsp和userinfo.jsp,第一个为登陆界面,第二个是验证页面,第三个是用户信息页面,为了安全起见,不能让用户直接访问第三个页面。 login.jsp <body> <form name="login" action="verify.jsp" method="p...
JSP中使用自定义标签防止盗链(传智播客学习笔记)
道哥的技术博客
07-04 2354
1.先编写此类。 package itcast.lxd.web.simpleTagAttrib; import java.io.IOException; import java.util.Date; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; imp
jsp利用session记录登陆状态,保证用户的使用连贯性,并且防止未登录用户绕过登陆页
伊宪勇的专栏
03-03 6536
继上篇博文进行改进,上篇博文只是利用标记传递值来防止未登录用户绕过登陆页,尽管可以使用,但是有些影响了用户的使用连贯性,需要多次登陆。 今天采用另一种更好的办法达到了过滤器Filter的效果,并且只有当用户点击退出按钮时或者session周期停止或者用户关闭浏览器时,网站释放用户登录信息。
防止用户直接访问jsp页面的几种办法
Nio96的专栏
03-17 5990
防止用户直接访问jsp页面的几种办法:   1.把JSP页面放在WEB-INF目录下,存放在此目录或者它的子目录里的任何东西都受到了保护。 不过,不太推荐,因为并非所有的容器都具有这种保护机制,例如WebLogic就做不到这一点。  2.使用servlet过滤器来过滤对jsp页面的请求。  3.在部署文件web.xml中使用安全限制.这个比过滤
springboot2.X手册:防抓包?快速实现API接口数据加密
程序员闪充宝
11-20 4118
有没有遇到这样子的接口,放到互联网上面去,谁都可以调用,谁都可以访问,完全就是公开的,这样子的接口,如果只是普通的数据,其实可以考虑,只是可以考虑,但是,一般情况下,我们是不允许这样子做...
JSP简单防盗链设计(零基础小白适用)
qq_51983316的博客
09-22 815
一、实验环境 JDK:13;Tomcat:9.0 二、实验目的 新建两个 web 服务目录 ch3 和 ch4,其中ch3中包含 1.jsp、ch4 中包含 2.jsp、3.jsp以及error.jsp;要求在1.jsp 和 3.jsp 中均有 2.jsp 页面的超链接,点击 3.jsp 中的超链接可以成功访问目标页面,但点击 1.jsp 中的超链接则会返回404错误,不予访问,实现防盗链的设计。 三、实验思想 通过编写判断页面 error.jsp 来判断来访网址是否符合要求,若符合则跳
解决SpringBoot启动过后不能访问jsp页面的问题(超详细)
10-15
主要介绍了解决SpringBoot启动过后不能访问jsp页面的问题,文中通过示例代码介绍的非常详细,有需要的朋友可以参考一下,希望对你有所帮助。
图片上传成功jsp页面不刷新问题
12-28
图片上传成功jsp页面不刷新,是因为浏览器缓存导致,需要在图片请求参数中添加随机参数
Spring打包jar包时jsp页面无法访问问题解决
10-15
主要介绍了Spring打包jar包时jsp页面无法访问问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
jsp页面中引用其他页面的简单方法
10-19
下面小编就为大家带来一篇jsp页面中引用其他页面的简单方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JSP防盗链小结
東方海竹
02-23 619
防盗链其用途是防止未经过授权的用户访问你的网站地址 从一个例子入手 a.html中有一个连接,将要访问到b.jsp       b.jsp   在b.jsp中我们可以获取到访问者的来源 request.getHeader("Referer") 那么判断该来源中的字符中是否含有原工程名或者本站域名即可保护     if((null==request.getHeader(
java 防止盗链_如何实现jsp防盗链功能?
weixin_42403100的博客
02-25 511
一、 问题描述在Web系统中,为防止自己网站资源被别人直接盗链使用(复制你的URL地址,直接嵌入到他自己网站里)。 在jsp中可以用request对象拿到客户请求信息或者表单数据,在客户端请求头报文协议里,通过“Referer”属性的信息记录上一次请求的URL,所以我们可以利用“Referer”属性值防止盗链问题(如需实现开放接口白名单授权访问或防止内容被盗爬,请参考其他文章内容)。二、示例如下:...
java项目中jsp在什么情况下不能根据路径被访问(如何访问此情况下的jsp,html)
The_Best_Hacker的博客
02-27 684
把那些限制访问的资源(比如说jsp源代码)放到Web应用的WEB-INF目录下,对于/web-INF/及其子目录,不允许直接的公共访问,所以就可以起到保护这些代码未经授权的访问和窥视,更好的保护了源代码。 如果可以直接通过路径访问访问这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的cont...
为什么访问不了jsp页面
最新发布
06-10
访问不了 JSP 页面可能是由于以下几种原因: 1. 服务器没有正确配置 JSP 插件:需要在服务器上安装 JSP 插件,并且将其正确配置,以便在服务器上执行 JSP 页面代码。 2. JSP 页面代码有错误:如果 JSP 页面代码中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值