jsp页面安全问题

最新推荐文章于 2024-07-23 20:42:48 发布
最新推荐文章于 2024-07-23 20:42:48 发布
阅读量3.3k 收藏 1
点赞数
文章标签: JSP 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tu1988ys/article/details/8849535
版权

在做SSI架构的项目,其中有大量的jsp页面,关于jsp的安全性问题,主要体现在web工作目录的WEB-INF文件夹下,可以将页面保存在WEB-INF文件下,这样用户就不能访问该页面了。它为什么能体现安全性能,就好比小偷要偷东西,但是他根本看不到我有的东西,他肯定偷不成功。因此将jsp页面保存在WEB-INF文件下,可以提高页面的安全性。

但是放到该文件夹下后,可能会出现我们要访问的时候却也无法访问了,查了相关资料了解到,在Structs中每一个跳转都是通过一个action来处理的,处理完后forward到相对地址。如果想不通过action处理跳转,而是直接让WEB-INF/a.jsp跳转到WEB-INF/b.jsp页面,则使用相对地址/b.jsp,绝对地址/WEB-INF/b.jsp或者<%=request.getContext()=%>/WEB-INF/b.jsp,均跳转不成功,这是因为安全性在搞怪,放到WEB-INF文件下web容器是对外不可见的,我们看不到他的跳转路径,所以直接跳转不行,需要间接跳转,可要通过structs的action,他的跳转是一种间接跳转,其跳转地址是在web.xml里面配好的,访问的人看不到,具有安全性。如果没有structs难道就不能间接跳转,jsp页面就没有安全保障了吗?答案是否定的,因为structs的action的本质 还是一个servlet,所以可以通过servlet来做。

先在web.xml里面配置servlet和servlet mapping:

<servlet>

   <servlet-name>goto</servlet-name>

   <jsp-file>/WEB-INF/jsp/test.jsp</jsp-file>--要跳转到的页面
  </servlet>
  <servlet-mapping>
   <servlet-name>goto</servlet-name>
   <url-pattern>/test</url-pattern>
  </servlet-mapping>

配置好了之后在jsp页面里用a就可以跳转了<a href="/工程名/test">测试页面跳转</a>--这里一定要“/工程名/test”

  通过servlet跳转还是比较麻烦了,但是这样能保证JSP页面的安全性,想两全其美是比较难的了。

当然如果安全要求不高,那就可以做成很简单的了,直接把所有的jsp页面全部放在webRoot底下,在WebRoot下页面用户可以直接输入地址访问。

最低0.47元/天 解锁文章
tu1988ys
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于WEB开发-jsp安全
csgoahead的专栏
03-18 5183
     虽然做了大半年的web开发了,但一直浮于表面,东西会做,但很多原理不通,要想成为技术牛人光会做是远远不行的,因为即使会做但不会讲且不能举一反三,哎,想当年高中数学之所以这么好就是因为高中数学原理我都一清二楚,举一反三,兴手捻来,反而到了现在有点急功近利,急于求成,我这不是倒退了么?我甘心做一个下平庸的人么,答案显然不是,所以从今天起我要做研究生阶段所没有做过的研究,从web开发做起,养成
JSP安全问题
iamqianqian的专栏
02-08 1346
 今天看了一下JSP安全问题的相关文章,下面是引自http://gocom.primeton.com/blog/index.php?op=ViewArticle&articleId=431&blogId=133的一部分内容。  JSP安全问题主要有哪几方面?  本节重点在于对jsp安全问题进行分类阐述和提出解决的建议,所以每种类型的安全问题只采用了一个例子,对于其它各种漏洞的具体细节如涉
jsp安全问题
fwch1982的专栏
07-20 406
web-inf目录是不对外开放的,外部没办法直接访问到。所有只能通过映射来访问,比如映射为一个action或者servlet通过服务器端跳转来访问到具体的页面。如果不放在web-inf下,那么就是可以通过在地址栏敲url访问到的,不安全
JSP安全
angou6476的博客
06-09 390
以下内容引用自http://wiki.jikexueyuan.com/project/jsp/security.html: JavaServer Pages和Servlets有几种可用的机制可以使Web开发人员用来保护应用程序。资源可以通过在应用程序部署描述中对它们进行识别并且为它们分配一个角色来声明式地保护它们。 有几种级别的身份验证是可用的,从使用基本标示符的基本验证到复杂的使用...
JSP应用的安全问题
FreeXploiT
10-24 1870
一、概述 当网络编程越来越方便,系统功能越来越强大,安全性却指数倍地下降。这恐怕就是网络编程的不幸和悲哀了。各种动态内容生成环境繁荣了WWW,它们的设计目标就是为了给开发者更多的力量,给最终用户更多的方便。正因为如此,系统设计师和开发者必须明确地把安全问题作为一个考虑因素,事后追悔很难奏效。 从安全的角度来看,服务器端WWW应用的弱点来源于各种各样的交互能力和传输通道。它们是攻击者直接
jsp安全问题
weixin_30507481的博客
07-25 151
jsp项目不同jsp之间假设只通过超链接进行跳转,安全性太低,不能满足现实生活中对安全性的要求! 为了提高安全性。能够通过Servlet进行跳转,进行跳转的时候为了进一步实现其安全性,能够通过间jsp文件放在WEB-INF目录里面。这样安全性就能得到提升。可是问题伴随而来,放在WEB-INF目录里面,怎样进行訪问? 能够实现的一种思路:另建一个Servlet类作为页面跳转的...
编写线程安全JSP程序
zl198183的专栏
03-20 925
时间:2002-08-30作者:徐春金 JSP默认是以多线程方式执行的,这是JSP与ASP,PHP,PERL等脚本语言不一样的地方,也是它的优势之一,但如果不注意多线程中的同步问题,会使所写的JSP程序有难以发现的错误。下面以一个例子说明JSP中的多线程问题及解决方法。 一、JSP
SSH项目后台JSP页面.zip
04-07
在这个"SSH项目后台JSP页面.zip"压缩包中,主要包含的是项目的Web内容部分,尤其是JSP页面,这是用户与服务器交互的前端界面。 首先,让我们深入了解SSH框架的每个组件: 1. **Struts2**:这是一个MVC(Model-View...
漂亮的jsp页面
03-03
【标题】:“漂亮的jsp页面”通常指的是使用JavaServer Pages(JSP)技术设计的美观、用户友好的网页。JSP是一种服务器端脚本语言,它允许开发者将HTML、CSS、JavaScript与Java代码混合编写,以创建动态网页内容。在...
jsp页面使用${}不起作用的解决方法
10-21
5. **JSP页面编码问题**:确保JSP页面的编码设置正确,通常应设置为`UTF-8`,以避免字符编码问题导致的显示异常。 6. **容器兼容性**:不同的应用服务器或Tomcat版本可能对JSP和EL的支持有所不同,确保你的开发环境...
Java Web初级编程:JSP 页面元素.pptx
04-30
* isThreadSafe:用于指定 JSP 页面是否是线程安全的。 * trimDirectiveWhitespaces:用于指定 JSP 页面是否裁剪指令空白符。 案例 以下是一个使用 Page 指令和 Include 指令的案例: ```jsp , java.util....
Servlet,JSP安全
minGW_Lee on the way
04-08 679
将静态资源和JSP页面保存在WEB-INF或其下的某一个目录下,可以将它们隐藏起来。放在这里的资源无法直接通过输入网址而访问到,但是仍然可以通过一个Servlet或者JSP页面跳转到那里。这是为了安全性考虑,不让用户从URI直接访问资源。 但是这样做的缺点是:这些资源永远都被藏起来了,永远无法直接被访问。 如果只是为了避免未授权的用户访问这些资源,那么可以将它们放在应用程序目录下的某一个目录
JSP安全性初探
weixin_34040079的博客
11-09 175
综述:有几种办法可以暴露JSP代码,不过经过大量测试,这和WEB SERVER的配置有绝对的关系,就拿IBM Websphere Commerce Suite而言,还有别的方法看到JSP源代码,但相信是IBM HTTP SERVER的配置造成的。 如果想发现JSP暴露源代码的BUG的话,首先需要了解JSP的工作原理。 JSP和其它的PHP、ASP工...
JSP---WEB安全性及config对象、pagecontext
每天进步一点
09-28 486
WEN-INF 是安全性最高的文件夹,当放在该文件夹中,
JSP开发的安全编程实例详细解析
吾日三省吾身
02-07 133
Java Server Page(JSP)作为建立动态网页的技术正在不断升温。JSP和ASP、PHP、工作机制不太一样。一般说来,JSP页面在执行时是编译式,而不是解释式的。首次调用JSP文件其实是执行一个编译为Servlet的过程。当浏览器向服务器请求这一个JSP文件的时候,服务器将检查自上次编译后JSP文件是否有改变,如果没有改变,就直接执行Servlet,而不用再重新编译,这样,效率便得到了...
JSP如何防范SQL注入攻击
weixin_42034000的博客
12-25 2514
本篇文章由泉州SEOwww.234yp.com 整理发布,jsp源码www.234yp.com/Article/176240.html谢谢合作!jsp源码   上周给别人做了个网站,无意间发现自己的作品有很多漏洞,在短短的20秒就被自己用sql注入法给干了。所以查了一点关于sql注入的资料,并且有点感悟,希望能与新手们分享一下。高手们见笑了!   SQL注入攻击的总体思路:   发现SQL注入位置;   判断服务器类型和后台数据库类型;   确定可执行情况   对于有些攻击者而言,一般会采取s...
登录功能使用Base64进行加密(解密) ---jsp页面以及servlet页面。(废了。不安全。。。。。)
种一颗十年前的树
11-14 1654
使用Base64在服务器端进行加密: String 加密后的字符串 Base64.getEncoder().encodeToString(“需要加密的字符串”.getBytes()); byte[] 解密后的byte数组 Base64.getDecoder().decode(“需要解密的字符串”); String 解密后的字符串 = new String(解密后的byte数组); 使用jq...
哪个邮箱最安全最好用啊
最新发布
Zoho_Mail的博客
07-23 1419
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
易玉根讲解:JSP页面、标记与变量方法
当多个用户同时访问JSP页面时,每个用户会拥有自己的线程,成员变量可能引发线程安全问题,需要谨慎处理。方法内部的变量仅在方法执行期间有效,执行结束后会被释放。 **Java程序片**: 在之间的Java代码片段被称为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值