保护JSP页面不被非法访问

最新推荐文章于 2020-06-21 21:22:27 发布
最新推荐文章于 2020-06-21 21:22:27 发布
阅读量721 收藏
点赞数
分类专栏: 技术 文章标签: jsp struts servlet action weblogic web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhengyuanting/article/details/2393884
版权

    为了更好地保护你的JSP避免未经授权的访问和窥视, 一个好办法是将页面文件存放在Web应用的WEB-INF目录下。

 

  通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。一个典型的商店应用程序的目录结构如图2所示。跟catalog (商品目录)相关的JSP被保存在catalog子目录下。跟customer相关的JSP,跟订单相关的JSP等都按照这种方法存放。

 

基于不同的功能 JSP 被放置在不同的目录下 

 

  这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Strutscontroller直接调用JSP同样也是个问题。

为了减少风险,可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP

 

  采用前面的例子,图3显示将JSP页面移到WEB-INF 目录下后的目录结构

 

JSP存放在 WEB-INF 目录下更为安全 

 

  如果把这些JSP页面文件移到WEB-INF 目录下,在调用页面的时候就必须把"WEB-INF"添加到URL中。例如,在一个Struts配置文件中为一个logoff action写一个Action mapping。其中JSP的路径必须以"WEB-INF"开头。如下所示:请注意粗体部分.

 

  这个方法在任何情况下都不失为Struts实践中的一个好方法。是唯一要注意的技巧是你必须把JSP和一个Struts action联系起来。即使该Action只是一个很基本的很简单JSP,也总是要调用一个Action,再由它调用JSP

 

  最后要说明的是,并不是所有的容器都能支持这个特性WebLogic早期的版本不能解释Servlet声明,因此无法提供支持,据报道在新版本中已经改进了。总之使用之前先检查一下你的 Servlet容器。
zhengyuanting
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jsp页面内实现批量上传下载.rar
11-22
例如,防止非法文件类型上传、控制上传文件大小以防DoS攻击、保护服务器存储空间不被滥用等。为了提高用户体验,还可以添加进度条显示上传进度,或者提供取消上传的功能。 总的来说,"jsp页面内实现批量上传下载"这...
jsp实现防盗链的方法
10-23
需要注意的是,"Referer"头部信息并不是所有浏览器都支持,或者可能被禁用,因此防盗链策略不能完全依赖于它。为了提高安全性,可以结合其他方法,例如使用cookie、session、IP地址白名单等进行辅助判断。此外,还...
防止用户直接访问jsp页面的几种办法
Nio96的专栏
03-17 6101
防止用户直接访问jsp页面的几种办法:   1.把JSP页面放在WEB-INF目录下,存放在此目录或者它的子目录里的任何东西都受到了保护。 不过,不太推荐,因为并非所有的容器都具有这种保护机制,例如WebLogic就做不到这一点。  2.使用servlet过滤器来过滤对jsp页面的请求。  3.在部署文件web.xml中使用安全限制.这个比过滤
使用Filter技术防止用户非法访问页面
hank1026的专栏
01-13 295
[code="java"] 一 Filter概述 Filter 技术是servlet 2.3 新增加的功能,它新增加的功能包括: 1. 应用程序生命周期事件控制 2. 新的国际化 3. 澄清了类的装载规则; 4. 新的错误及安全属性; 5. 不赞成使用HttpUtils 类 6. 各种有用的方法 7. 阐明并扩展了几个servlet DTD 8. filter功能 ...
使用过滤器防止非法访问WEB网页
jingren1219的博客
01-22 3059
问题:一般情况下,我们需要先登录,然后进入到下一个页面,但如果有人知道文件名等方式,绕过登录,可直接去访问后续页面,针对这样的问题,可以使用过滤器Filter去操作,具体方案如下: 文章转载http://www.51testing.com/html/06/183306-124904.html 附Filter学习资料:http://www.cnblogs.com/xdp-gacl/p/3
(转)JSP详细教程
07-19 3328
转自 https://blog.csdn.net/u011014707/article/details/59069896 JSP技术是以Java语言作为脚本语言的,JSP网页为整个服务器端的Java库单元提供了一个接口来服务于HTTP的应用程序。 1.Java简介         1)为什么使用JSP?                 JSP程序与CGI程序有着相似的功能,但和CGI程序相...
https在jsp中简单使用
andy_gfz的博客
11-23 3389
HTTPS实际是SSL over HTTP, 该协议通过SSL在发送方把原始数据进行加密,在接收方解  密,因此,所传送的数据不容易被网络黑客截获和破解。本文介绍HTTPS的三种实现方法  。  方法一 静态超链接  这是目前网站中使用得较多的方法,也最简单。在要求使用SSL进行传输的Web网页链接  中直接标明使用HTTPS协议,以下是指向需要使用SSL的网页的超链
WEB-INF目录下的jsp页面如何访问
evilcry2012的专栏
11-13 2308
发布时间:2013-01-06 19:57:40  发布作者: 潜动力   阅读量: 1782   在实际开发中,很多时候,为了加强安全性及保护源代码,需要把后台的jsp页面放在WEB-INF目录下,实际上,这个目录一般都是用于存放配置文件还有jar包,类的编译文件等 因为这个目录是有权限,即有访问控制的,直接在地址栏中输入该页面的Url地址或者在页面上使用超链接是不能访问的,提示
WEB-INF目录下的jsp页面如何访问(提醒自己)
william11zhu的专栏
11-07 811
WEB-INF目录下的jsp页面如何访问  在实际开发中,很多时候,为了加强安全性及保护源代码,需要把后台的jsp页面放在WEB-INF目录下,实际上,这个目录一般都是用于存放配置文件还有jar包,类的编译文件等  因为这个目录是有权限,即有访问控制的,直接在地址栏中输入该页面的Url地址或者在页面上使用超链接是不能访问的,提示404错误,即找不文件,从而把后台页面放在这个目录下相对是比较安全
Servlet+JSP一文完结
充满好奇的threecat
06-21 3673
前言: Servlet为创建基于web的应用程序提供了组件、独立于开发的平台,可以不受CGI程序(公共网关接口(Common Gateway Interface,CGI))的性能限制。Servlet有权限访问所有的javaAPI,包括访问企业级数据库的JDBC API。 一、Servlet简介 Java Servlet是运行在Web服务器或应用服务器上的程序,它是作为来自Web浏览器或其他HTTP客户端的请求和HTTP服务器上的数据库或应用程序之间的中间层。 使用Ser...
JSP自定义标签就是如此简单
3y
02-07 2043
为什么要用到简单标签? 上一篇博客中我已经讲解了传统标签,想要开发自定义标签,大多数情况下都要重写doStartTag(),doAfterBody()和doEndTag()方法,并且还要知道SKIP_BODY,EVAL_BODY等等的变量代表着什么,在什么方法中使用。这样实在是太麻烦了! 因此,为了简化标签开发的复杂度,在JSP 2.0中定义了一个更为简单、便于编写和调用的SimpleTag接
Java项目中如何访问WEB-INF下jsp页面
10-14
在Java Web开发中,将JSP页面放置在`WEB-INF`目录下是一种常见的做法,主要目的是为了增强应用程序...这样做有助于保护应用程序的内部结构,防止非法访问。在实际开发中,应根据项目需求和安全策略灵活选择合适的方法。
jsp图形验证码源码
09-24
总之,基于JSP的图形验证码源码提供了一种简单但有效的安全机制,通过动态生成和验证图像验证码,可以有效抵御自动化攻击,保护Web应用的安全。理解其工作原理和实现细节,对于Web开发者来说至关重要。
Stock_3_java_jsp_
09-30
3. 安全性:可能使用Spring Security或Apache Shiro等工具进行身份验证和授权,保护系统资源不被非法访问。 4. 错误和异常处理:通过try-catch-finally结构,以及自定义异常类,保证程序的健壮性。 5. 文件上传与...
ProGuard使用说明
热门推荐
05-12 1万+
我们做java开发的一般都会遇到如何保护我们开发的代码问题。java语言由于是基于jvm上面,所以反编译class文件很很容易。假如我们做了一个web程序,并把这个web程序发布给客户。实际上,客户是很容易反编译出我们的源代码出来,包括所有的src文件和jsp文件等等。 那么,如何保护我们的源代码,实际上,应该有几种方法可以使用:1、使用代码混淆器 2、重载应用服务器的classloader 对于
ProGuard入门
12-19 8446
ProGuard是一款免费的Java类文件压缩器、优化器和混淆器。它能发现并删除无用类、字段(field)、方法和属性值(attribute)。它也能优化字节码并删除无用的指令。最后,它使用简单无意义的名字来重命名你的类名、字段名和方法名。经过以上操作的jar文件会变得更小,并很难进行逆向工程。这里提到了ProGuard的主要功能是压缩、优化和混淆,下面我就先介绍一下这些概念,然后再介绍ProGu
Delphi ActiveX的DAX Error之终极解决方法
05-09 5562
      一般对DAX Error的解释是:Delphi 的 ActiveX一个进程只有一个 ParkingWindow,需要把VCL里的axctrls.pas 的ParkingWindow函数进行修改:function ParkingWindow: HWND; var TempClass: TWndClass; ParkingName : String; begin Result := x
解决CreateOjbect("Excel.Application")的错误
05-09 4974
在 Visual Basic 中,错误 429 的原因有多个。如果满足以下任何条件,则会发生此错误: • 应用程序中出现错误。 • 系统配置中出现错误。
基于JSP的火车订票系统设计与实现
8. **安全性考虑**:除了登录验证,系统还应考虑其他安全措施,如防止SQL注入、确保数据加密传输(SSL/TLS)、限制非法访问等,以保护用户数据的安全。 9. **性能优化**:对于大量用户并发访问的火车订票系统,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值