web应用安全jsp保护,不能直接外露出来给客户知道。
不让客户直接看到访问jsp页面。这样就可以保护jsp安全。
1、原理:
基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP。所有要使系统去访问的话就需要使用拦截控制器去接受外界命令,由控制器来转发访问请求,这样将网页放到web-inf下能降低网页的注入漏洞和BUG的出现概率,能很好的维护系统稳定!
2、具体实现的方法:
<!-- 配置视图解析器 --> <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <!-- 配置jsp路径的前缀 --> <property name="prefix" value="/WEB-INF"></property> <!-- 配置jsp的路径的后缀 --> <property name="suffix" value=".jsp"></property> </bean>
这样就可以间接访问jsp网页了。