web.xml 中的安全性配置

最新推荐文章于 2022-12-02 15:00:19 发布
最新推荐文章于 2022-12-02 15:00:19 发布
阅读量219 收藏
点赞数
分类专栏: jsp 文章标签: Web XML Security JSP J#

web.xml 中的代码

<security-constraint>
  <display-name>
  baseporject</display-name>
  <web-resource-collection>
   <web-resource-name>baseproject</web-resource-name>
   <url-pattern>*.jsp</url-pattern>
   <url-pattern>*.do</url-pattern>
   <http-method>GET</http-method>
   <http-method>PUT</http-method>
   <http-method>HEAD</http-method>
   <http-method>TRACE</http-method>
   <http-method>POST</http-method>
   <http-method>DELETE</http-method>
   <http-method>OPTIONS</http-method>
  </web-resource-collection>
  <auth-constraint>
   <description>
   baseproject</description>
   <role-name>All Role</role-name>
  </auth-constraint>
  <user-data-constraint>
   <transport-guarantee>NONE</transport-guarantee>
  </user-data-constraint>
 </security-constraint>
 <login-config>
<!--四种验证方式,附在最后有说明-->
  <auth-method>FORM</auth-method>
  <form-login-config>
   <form-login-page>/login.html</form-login-page>
   <form-error-page>/error.html</form-error-page>
  </form-login-config>
 </login-config>
 <security-role>
  <role-name>All Role</role-name>
 </security-role>

 这里的security-constriaint元素的用途是用来指示服务器使用何种验证方法了.此元素在web.xml中应该出现在login-config的紧前面。它包含是个可能的子元素,分别是:web-resource-collection、auth-constraint、user-data-constraint和display-name。下面各小节对它们进行介绍。
 1. web-resource-collection 此元素确定应该保护的资源,所有security-constraint元素都必须包含至少一个web-        resource-collection项.此元素由一个给出任意标识名称的web-resource-name元素、一个确定应该保护URL    的url-pattern元素、一个指出此保护所适用的HTTP命令(GET、POST等,缺省为所有方法)的http-method元素和一个提供资料的可选description元素组成。
    重要的是应该注意到,url-pattern仅适用于直接访问这些资源的客户机。特别是,它不适合于通过MVC体系结构利用RequestDispatcher来访问的页面,或者不适合于利用类似jsp:forward的手段来访问的页面。
 
 
2. auth-constraint元素却指出哪些用户应该具有受保护资源的访问权。此元素应该包含一个或多个标识具有访问权限的用户类别role-name元素,以及包含(可选)一个描述角色的description元素。

 

3. user-data-constraint
这个可选的元素指出在访问相关资源时使用任何传输层保护。它必须包含一个transport-guarantee子元素(合法值为NONE、INTEGRAL或CONFIDENTIAL),并且可选地包含一个description元素。transport-guarantee为NONE值将对所用的通讯协议不加限制。INTEGRAL值表示数据必须以一种防止截取它的人阅读它的方式传送。虽然原理上(并且在未来的HTTP版本中),在INTEGRAL和CONFIDENTIAL之间可能会有差别,但在当前实践中,他们都只是简单地要求用SSL。
 

=========================================================

 

四种认证类型:

BASIC:HTTP规范,Base64
<web-app>
    ......
    <login-config>
        <auth-method>BASIC</auth-method>
    </login-config>
    ......
</web-app>

DIGEST:HTTP规范,数据完整性强一些,但不是SSL
<web-app>
    ......
    <login-config>
        <auth-method>DIGEST</auth-method>
    </login-config>
    ......
</web-app>

CLIENT-CERT:J2EE规范,数据完整性很强,公共钥匙(PKC)
<web-app>
    ......
    <login-config>
        <auth-method>CLIENT-CERT</auth-method>
    </login-config>
    ......
</web-app>

FORM:J2EE规范,数据完整性非常弱,没有加密,允许有定制的登陆界面。
<web-app>
    ......
    <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
            <form-login-page>/login.html</form-login-page>
            <form-error-page>/error.jsp</form-error-page>
        </form-login-config>
    </login-config>
    ......
</web-app>

 

这里的 FORM 方式需要说明的是 登录页面的固定的元素:login.html

 

<form name="loginform" method="post" action="j_security_check">

<INPUT name="j_username" type="text">

<INPUT name="j_password" TYPE="password">

<input type="submit" value="登 录" >

</form>

 

form 的action 必须是j_security_check, method="post", 用户名 name="j_username" , 密码name="j_password"  这些都是固定的元素

 

 

iteye_19950
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaWeb工程web.xml基本配置过程解析
08-25
在JavaWeb工程web.xml是非常重要的一个配置文件,它定义了Web应用程序的结构和行为。在本文,我们将详细介绍web.xml的基本配置过程和其重要性。 一、web.xml的基本概念 web.xml是JavaWeb工程的一个配置...
学习记录 -- web.xmlsecurity-constraint配置测试
Welcome to IronC's Blog
06-28 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件的视图解析器配置 -->
web.xml文件的7个错误的安全配置
weixin_30673611的博客
01-29 305
关于Java的web.xml文件配置认证和授权有大 量 的 文章。本文不再去重新讲解如何配置角色、保护web资源和设置不同类型的认证,让我们来看看web.xml文件的一些常见的安全错误配置。 (1) 自定义的错误页面没有配置 默认情况下,Java Web应用在发生错误时会将详细的错误信息展示出来,这将暴露服务器版本和详细的堆栈信息,在有些情况下,甚至会显示Java代码的代码片段。这些信息对...
web.xmlsecurity-constraint安全认证标签说明
u012045045的博客
01-23 1万+
在做web项目时由于想给webRoot下的jsp文件进行安全保护,控制不允许直接对jsp的访问,于是找到了tomcat的安全认证机制,只需要在web.xml进行一定的配置即可,非常方便。 1.因为使用了SpringMVC,这里先给出SpringMVC配置文件的视图解析器配置 &lt;bean class="org.springframework.web.servlet.view.Inte...
web.xml解析与实例测试
undergrowth的专栏
05-15 1318
web.xml 文件为java web程序的一个基础性描述文件,主要用于描述URL与Servlet
Tomcat 小结
java_jvm的专栏
09-27 362
 增加一个虚拟目录 在 server.xml 文件增加 myweb 说明其相对webapps 的位置,是物理存在的目录; /oicq 说明其相对web URL 的路径,是一个虚拟的路径,如:http://localhost/oicq 配置JSP 及 Servlet JSP 文件直接放在myweb 下; 编译好的 JavaBean、Servlet 放在 WEB-INF 下的 c
详解Spring mvc的web.xml配置说明
08-31
正确的配置有助于提升应用程序的性能、安全性和可维护性。理解并熟练掌握`web.xml`的配置是每个Spring MVC开发者必备的技能。通过合理的配置,我们可以让Spring MVC更好地服务于我们的Web应用。
web.xml配置详解
01-30
web.xml 配置详解是指在 Java Web 应用程序使用的部署描述符配置文件。它是一个 XML 文件,包含了很多描述 servlet/JSP 应用的各个方面的元素,如 servlet 注册、servlet 映射以及监听器注册。 在 web.xml 文件...
TongWeb配置文件tongweb.xml概要说明
11-05
这些设置对于优化应用性能、提升安全性以及简化运维流程都至关重要。 总之,理解并掌握tongweb.xml配置细节,是运维TongWeb服务器的关键。通过合理调整这些参数,可以有效解决应用部署过程的各种问题,提高系统...
web.xml详细解析四合一.docx
最新发布
10-24
通过理解web.xml文件的结构和元素,开发者可以精确地控制Web应用的行为,从初始化参数设置到安全性配置,再到错误处理和资源管理,web.xml是实现Web应用自定义逻辑的关键。在开发Java EE应用时,熟练掌握web.xml的...
web.xml安全认证标签说明
走在java的路途上
05-16 1131
1.security-constraint元素 部署描述符的元素允许不通过编程就可以限制对某个资源的访问。     default             all files         /*                 admin                 NONE     (1) web-resource-collection元素
JavaWeb web.xml配置详解
热门推荐
Record_Algorithm
12-02 1万+
=""=""=""=""
XML解析器安全配置
loongshawn的博客
08-03 2884
背景说明 应用工程使用XML解析器解析外部传入的XML文件,如果没有做特殊处理,大多会解析XML文件的外部实体。 如果外部实体包含URI,那么XML解析器会访问URI指定的资源,例如本地或者远程系统上的文件。 该攻击可用于未经授权访问本地计算机上的文件,扫描远程系统,或者导致本地系统拒绝服务。 通过配置XML解析器,禁止加载外部实体。 SAXReader解析器 public static...
设置TRANSPORT-GUARANTEE=CONFIDENTIAL保护敏感资源
业精于勤荒于嬉;行成于思,毁于随。
06-08 3611
开发运行环境:WebLogic 12.1.1 开发版 本文最后一次修改日期:2013-06-08 为了保护Web应用的敏感数据,防止资源的非法访问和保证传输的安全性,Java Servlet 2.2规范定义了安全约束(Security-Constraint)组件,它用于指定一个或多个Web资源集的安全约束条件;用户数据约束(User-Data-Constraint)组件是安全约束组件的子类,
web.xml<security-constraint>和四种认证类型
01-17 1378
的子元素 是可选的,如果没有 元素,这表示将禁止所有 HTTP 方法访问相应的资源。  子元素 需要和 相配合使用,但可以被单独使用。如果没有 子元素,这表明任何身份的用户都可以访问相应的资源。也就是说,如果 没有 子元素的话,配置实际上是不起用的。如果加入了 子元素,但是其内容为空,这表示所有身份的用户都被禁止访问相应的资源。  web.xmlXml
web.xml配置及其注意事项
狼行千里吃肉
01-09 784
在项目总会遇到一些关于加载的优先级问题,刚刚就遇到了一个问题,由于项目使用了quartz任务调度,quartz在web.xml是使用listener进行监听的,使得在tomcat启动的时候能马上检查数据库查看那些任务未被按时执行,而数据库的配置信息在是在web.xml使用servlet配置的,导致tomcat启动后在执行quartz任务时报空指针,原因就是servlet的数据库连接信息未
web安全-xml安全汇总
Coisini的博客
05-27 353
web安全--XML 注入的介绍与代码防御(转,挺不错)
fabao007的专栏
05-02 465
0x01 介绍 一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。用户输入通常会传播到这些文件,进而定制配置或更新应用程序数据库。如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。以下证明易受攻击的 J2EE 应用程...
web.xml配置文件
06-01
web.xml是Java Web应用程序的配置文件,它位于WEB-INF目录下。它的作用是为Web应用程序定义配置信息,例如servlet,过滤器,监听器等组件的配置信息,以及上下文参数、错误页面、会话超时时间、安全性配置等信息。在web.xml,你可以定义Servlet的映射、URL模式、Servlet名称、Servlet类、Servlet的初始化参数等等。同时,web.xml也可以定义过滤器,监听器等组件的信息。在Java Web应用程序web.xml是非常重要的配置文件,它可以帮助开发人员更好的管理和维护Web应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值