Servlet之安全问题

最新推荐文章于 2023-04-08 10:39:09 发布
最新推荐文章于 2023-04-08 10:39:09 发布
阅读量1.7k 收藏
点赞数
分类专栏: java语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28385797/article/details/53382354
版权

在之前的博文中我们讲了如何新建和运行一个Servlet,也讲了一般的Servlet的知识点,如通配符映射等。

那么思考下,我们要访问一个写好了的Servlet,单独访问是没有问题的,如果有n个用户同时访问这个网址呢?会出现什么问题?

public class ConcurrentTest extends HttpServlet {
/**
*
*/
private static final long serialVersionUID = -2153241422283937673L;
PrintWriter output;
@Override
protected void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String username;
response.setContentType("text/html;charset=gb2312");
username=request.getParameter("username");
output=response.getWriter();
try {
//为了突出并发问题,在这设置一个延时
Thread.sleep(10000);
output.println("用户名:"+username+"<BR>");
} catch (Exception e) {
e.printStackTrace();
}
}

编辑如上代码,当每次访问时都输出当前访问对象的username。但是当我们使用不同的浏览器同时访问时,错误出现了:

在同一个用户操作的浏览器上连续输出了两个username,虽然都为null,但是这也是不安全的。

怎么造成的呢?

这是因为在其中一个用户操作的时候,其他用户也可以访问servlet对象,当第二个用户还在操作的时候第一个用户操作完成,这就造成了原本是输出到b用户浏览器上的数据被a用户获取。这是很典型的无法同步线程的读操作,在我之前的JVM里面多线程访问内存数据也有讲到,当时讲的是有两种解决办法。

Servlet为了解决同步问题,才去的思路与JVM是很类似的。

首先第一种方法是:给被访问的对象加锁,途径是实现SingleThreadModel,即单线程模式。

来看下SingleThreadModel的官方定义和解释:

也就是说当Servlet实现了这个方法,那么程序保证在当前只能有一个此Servlet的对象在运行,也就不存在读的竞争关系。但是这个方法并没有完全解决所有的线程问题,比如说session的attribute以及静态变量仍然可以被多请求获得,获得同一时间的多个线程获得。也就是说虽然这个对象被保证了同一时间只能有一个,但是session的attribute是共享的,静态变量存在方法区,也是可以被获得并且可能存在安全读取的隐患的(必然)。所以这个接口也不再被建议使用。


第二种方式是:同步共享数据(加锁)

对要被获取的对象加锁,保证同一时间只能有一个线程访问这个对象。关键字Synchronized。

其中的代码就变成了这个样子:

username=request.getParameter("username");
synchronized(this){
output=response.getWriter();
try {
//为了突出并发问题,在这设置一个延时
Thread.sleep(5000);
output.println("用户名:"+username+"<BR>");
} catch (Exception e) {
e.printStackTrace();

把response这个对象加锁,保证在同一时间只能有一个对象能操作response及其操作。

第三种方式是:使用局部变量而不是实例变量

 在刚才写的Servlet类中,因为我们使用两个不同的线程去获取request对象(servlet的内置对象),并且打印出每个user的username,所以造成了输出的错误。

如果把request对象写在方法体中,那么就变成:

@Override
protected void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String username;
PrintWriter output;

运行了几次没有出现错误。

把每个线程的休眠时间增加。

Thread.sleep(10000);

连续运行。

自动提示当前的request对象还没有释放,没有结束。问题解决。

究竟最后的两种方法哪种更好呢?思考一下。

一种是同步我们的要操作的对象;一种是使用局部对象。

个人感觉还是局部对象更胜一筹,因为我们不能每次都确切的知道需要同步的对象,而且需要手动的去添加同步方法,相比之下使用局部对象就方便的多了。

如果程序必须使用全局变量时,我们还有同步方法可以使用,不是吗?总会有办法的。

ps:

类变量是类中独立于方法之外的变量,用static 修饰。
实例变量也是独立于方法之外的变量,没用static修饰,也就是对着对象实例化而初始化。
方法变量时在方法之内声明的变量,生命周期与方法一致。





山脚下的风景
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Servlet线程安全问题
爱吃串串的瘦子的博客
03-11 167
同时访问(全局)共享变量,会出现线程安全问题; 解决方法: 1)同步代码块——Synchronized(this)方法;(不推荐,前一个释放后一个才能使用) 2)实现SingleThreadModle接口(out); 3)尽量不要在Servlet实例内使用共享变量。 同时访问局部变量,则不会出现引发线程安全问题。 ThreadServlet.java ...
如何处理Servlet的线程不安全问题
m0_62333264的博客
05-25 123
比如同时有两个用户A和用户B登录时,会启动两个负责登录的Servlet线程,并且触发Service方法才处理请求.所以在Servlet处理共享数据的时候,会出现。当用户发送Http请求的时候,tomcat会读取web.xml中的内容,加载所定义的Servlet并实例化该Servlet.用synchronized进行保护,但是要尽量的缩小保护范围。使用全局变量会出现线程安全问题,所以我们可以。
java程序中常见的漏洞类型
m88997766的博客
04-08 378
是一种常见的Web安全漏洞,攻击者通过注入恶意代码到网页中,使得这些代码被其他用户的浏览器执行,从而攻击用户的计算机系统.
Servlet线程安全问题总结
心静、世界就静
07-08 6030
servlet线程安全
Servlet是不是线程安全的?
qq_59559881的博客
02-18 467
java中servlet是不是线程安全
servlet的线程不安全解释
pengwenrui的博客
06-18 1640
Servlet线程不安全的解决办法(单实例多线程)servlet线程安全的解决办法当两个或者多个线程同时访问同一个Servlet时,可能会发生多个线程同时访问同一个资源的问题,数据可能会变得不一致,所以就很容易导致一些安全问题servlet体系结构是建立在java多线程的机制之上的,它的生命周期由Web容器来负责。当客户端第一次请求某个Servlet时,servlet容器将会根据web.xml...
servlet线程安全问题
03-14
Servlet 线程安全问题 Servlet 线程安全问题是指在使用 Servlet 编程时,如果不注意多线程安全问题,可能会导致难以发现的错误。Servlet/JSP 技术由于其多线程运行而具有很高的执行效率,但这也意味着需要非常...
Servlet线程安全问题.docx
06-20
Servlet线程安全问题详解 在Java Web开发中,Servlet是一个重要的组件,用于处理HTTP请求。然而,Servlet在多线程环境下的线程安全问题是一个不容忽视的话题。在Servlet的生命周期中,Tomcat容器会根据需求实例化...
Servlet网上售票问题引发线程安全问题的思考
01-20
在本文中,我们将深入探讨由Servlet网上售票问题引发的线程安全问题,并通过提供的代码示例来理解如何解决这些问题。线程安全是多线程环境下编程的重要概念,尤其是在并发访问共享资源时,确保数据一致性与正确性的...
深入研究Servlet线程安全问题
01-19
深入研究Servlet线程安全问题...
一文带你搞懂Spring MVC和servlet(面试必备)
12-21
一、Spring MVC与Jsp/Servlet比较1、传统的 Jsp/Servlet 技术体系弊端2、Spring Web MVC 特点3、Spring MVC工作流程二、idea创建servlet项目1、搭建过程2、servlet的工作流程3、servlet的生命周期三、idea创建Spring MVC项目1、搭建过程2、Spring MVC接口解释接口解释DispatcherServlet 一、Spring MVC与Jsp/Servlet比较 1、传统的 Jsp/Servlet 技术体系弊端 Servlet: 是用java编写的服务端应用程序。 作用:主要用于交互式的浏览和修改数据,生成
基于Servlet的URL访问安全控制.doc
最新发布
04-28
防止用户通过输入URL直接访问系统的页面或后端接口,而绕过权限对系统进行操作。
实习培训——Servlet(5)
a67900986的博客
08-16 172
实习培训——Servlet(5) 1 Servlet简介 Servlet 是什么? Java Servlet 是运行在 Web 服务器或应用服务器上的程序,它是作为来自 Web 浏览器或其他 HTTP 客户端的请求和 HTTP 服务器上的数据库或应用程序之间的中间层。 使用 Servlet,您可以收集来自网页表单的用户输入,呈现来自数据库或者其他源的记录,还可以动态创建网页。...
Servlet的优缺点
qq_46687516的博客
08-14 3841
Servlet的优点: 1.是任何mvc框架的基础,其他的框架比如struts1,struts2,webwork都是从servlet基础上发展过来的。 2.Servlet是最底层的api,可以使程序员更了解mvc的各个特点。 3.程序员可以对servlet进行封装。Struts2就是从servlet中封装以后得到的结果。 4.Servlet提供了大量的实用工具例程,例如自动地解析和解码HTML表单数据、读取和设置HTTP头、处理Cookie、跟踪会话状态等。 5.Servlet能够直接和Web服务
servlet线程安全安全
weixin_71436206的博客
02-20 211
安不安全有三个重要方法 1 init()   进行资源的加载 2 service()   处理请求,根据请求方式,调用doGet或者doPost 3 destroy()   进行资源的释放 servlet是单实例的,假如在处理请求时候,多线程访问了servlet的成员变量,则servlet是线程不安全的。 只要保证在service()方法中访问的都是局部变量,则servlet是线程安全的。 多线程下每个线程对局部变量都会有自己的一份copy,这样对局部变量的修改只会影响到自己的copy而不
Servlet线程安全吗?
Tommy_WXF的博客
02-21 419
Servlet不是线程安全的。 要解释为什么Servlet为什么不是线程安全的,需要了解Servlet容器(即Tomcat)使如何响应HTTP请求的。 当Tomcat接收到Client的HTTP请求时,Tomcat从线程池中取出一个线程,之后找到该请求对应的Servlet对象并进行初始化,之后调用service()方法。要注意的是每一个Servlet对象再Tomcat容器中只有一个实例对象,即是单例模式。如果多个HTTP请求请求的是同一个Servlet,那么着两个HTTP请求对应的线程将并发调用Servle
servlet安全
03-31
Servlet安全性主要涉及以下几个方面: 1. 身份认证:通过用户名和密码等方式验证用户的身份,确保只有经过认证的用户才能访问受限资源。 2. 访问控制:对不同用户或用户组设置不同的访问权限,限制用户只能访问其有权限的资源。 3. 数据验证和过滤:对从客户端提交的数据进行验证和过滤,防止用户提交恶意或非法数据,避免安全漏洞。 4. 防御攻击:针对常见的攻击方式,如SQL注入、跨站脚本等进行防御,保护系统的安全。 5. 安全配置:对Servlet容器进行安全配置,限制Servlet的运行环境,避免受到未授权的访问、攻击和滥用。 总的来说,Servlet安全性需要从多个方面进行保护,综合使用各种安全措施,才能确保其安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值