- 浏览: 913006 次
- 性别:
- 来自: 北京
文章分类
最新评论
-
天天来注册:
...
try catch finally 用法 -
tadpole_java:
谢谢你的分享。
二十七、Qt数据库(七)QSqlRelationalTableModel(转) -
359449749tan:
android之EditText文本监听(addTextChangedListener) -
michael_wang:
人过留名 多谢分享
Android NOtification 使用 -
wilsonchen:
wangqi0614 写道这个删除是删除所有的把?能不能值删除 ...
Android的SharedPreferences保存与删除数据简单实例
英文原文:Top 7 Features in Tomcat 7: The New and the Improved
Tomcat的7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述TOMCAT 7中七个最显著的特征和新增的功能,并对其作出评论,而不是仅仅列出新的功能。本文还提供了代码例子以方便你可以对其有更好的理解。
本文分为两个部分,分别是”TOMCAT 7的新特性”和“TOMCAT 7增强的功能“。
TOMCAT 7新特性
1 使用随机数去防止跨站脚本攻击。
2 改变了安全认证中的jessionid的机制,防止session攻击。
3 内存泄露的侦测和防止
4 在war文件外使用别名去存储静态内容。
TOMCAT 7的增强功能
5 对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持
6 更容易将Tomcat内嵌到应用去中去,比如JBoss
7 异步日志记录
根据Mark Thomas,Tomcat 7委员会的经理的说法,Tomcat 7最显著的三个特征是Servlet 3.0,内存检测泄露和增强的安全特性。
Tomcat 7的例子程序中,包含了Eclipse的工程文件和Ant的构建文件,以方便去构建war文件。其中Eclipse工程文件有例子代码描述了Tomcat 7的一些新特性。
下面逐一开始介绍。
TOMCAT 7新特性
1、使用随机数去防止跨站请求伪造攻击。
Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。
经典的防止CSRF攻击的方法是使用随机数的方式,Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中,以确保旧的不能在以后的重放攻击中被利用。”
Tomcat 7中有一个servlet过滤器,用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数,必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的,该请求是判断来自指定的网站。如果它们是不同的,该请求被认为是从其他网站发出并且会被拒绝。
这个servlet过滤器是十分简单的,下面是从TOMCAT 源代码CsrfPreventionFilter文档中摘录的片段:
Java代码
public class CsrfPreventionFilter extends FilterBase {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM);
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);
if (expectedNonce != null && !expectedNonce.equals(previousNonce)) {
res.sendError(HttpServletResponse.SC_FORBIDDEN);
return;
}
String newNonce = generateNonce();
req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce);
public class CsrfPreventionFilter extends FilterBase {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM);
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);
if (expectedNonce != null && !expectedNonce.equals(previousNonce)) {
res.sendError(HttpServletResponse.SC_FORBIDDEN);
return;
}
String newNonce = generateNonce();
req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce);
所以每个URL地址中都有一个从用户session中提取的随机数,下面是使用的JSTL例子:
在以前,JSTL中构造链接可以这样:
< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< /c:url >
< a href="${show}" >Show< /a >
而现在可以这样:
< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< c:param name="org.apache.catalina.filters.CSRF_NONCE" value="${session.org.apache.catalina.filters.CSRF_NONCE}" / >
< /c:url >
具体的例子可以参考TOMCAT 7自带例子中的演示,这个过滤器可以在web.xml中进行配置,配置后,所有访问如http://localhost:8080/tomcat7demo/csrf/ 的都必须带上参数,不带上参数的话会出现403禁止访问错误。
当然这种方法的缺点就是所有的链接都必须带上这个随机数。
2、 改变了安全认证中的jessionid的机制,防止session攻击。
Session劫持攻击通常是以下的情况:
1 恶意攻击者先访问一个网页,由于cookie是以jsession id的方式存储在浏览器中的,即使攻击者不登陆,他可以伪造一个带有jsession id的地址,把它发给受害者,比如
http://example.com/login?JESSIONID=qwerty)
2 受害者点这个带有jsessionid的链接,提示输入验证信息之后就登陆系统。
3 攻击者现在使用这个带jsessionid的链接,以受害者的身份登陆进系统了。
对于攻击者来说,将jsessionid加在url中以及通过一个恶意表单发送出去是很容易的事,对于session劫持攻击的更详细描述,请参考Acros Security组织的白皮书“Session Fixation Vulnerability in Web-based Applications”。
TOMCAT 7对此的解决方案是一个补丁,它在验证后改变了jsessionid。这个补丁主要是应用在TOMCAT 7中,当然在TOMCAT 5和6中也可以使用但只是有些不同。
根据Mark Thomas说的,应用了Tomcat 7的这个补丁后:
• TOMCAT默认情况下安全性不再变得脆弱,因为验证后会话发生了变化
• 如果用户改变了默认设置(比如应用程序不能处理变化了的session id),风险也会降到最小,因为在Servlet 3中,可以禁止在url中进行会话跟踪。
而在TOMCAT 5和TOMCAT 6中,应用了补丁后:
• 能阻止session劫持攻击,因为能让TOMCAT在验证后改变session id。
• 如果应用程序不能处理变化了的session id,可以通过写自定义的过滤器去检查request.isRequestedSessionIdFromURL()和其返回的结果,以降低风险。
以上这些改变都是TOMCAT在幕后所做的,开发者根本不用去理会。
3 、内存泄露的侦测和防止
开发者在部署他们写的程序到生产环境上时,经常会遇到Pemgen错误:OutOfMemoryError。这是由于内存泄露而引起的。通常开发者是通过增大permgen内存的大小去解决或者就是重新启动tomcat。
TOMCAT 7包含了一个新的特性,它通过把不能垃圾回收的引用对象移走的方法,能解决一些Permgen内存泄露的问题。这个特性对程序员部署应用程序在他们的开发环境中是十分方便的,因为程序员在开发环境中为了节省时间一般不重新启动Tomcat就能部署新的war文件。在生产环境中,最好的建议还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。
当然,内存泄露检测和防止这个特性现在还不是很完善,还是有的情况TOMCAT不能检测内存泄露和修复之的,所以对于生产环境,最好的的办法还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。
Mark Thomas解析应用程序或者库程序在如下情况下会触发内存泄露:
• JDBC驱动的注册
• 一些日志框架
• 在ThreadLocals中保存了对象但没有删除它们
• 启动了线程但没停止
而 Java API 存在内存泄漏的地方包括:
1.使用 javax.imageio API ( Google Web Toolkit会用到)
2.使用 java.beans.Introspector.flushCaches()
3.使用 XML 解析器
4.使用 RMI 远程方法调用
5.从 Jar 文件中读取资源
4、 在war文件外使用别名去存储静态内容
Web应用程序需要静态资源文件,比如象CSS,Javascript和视频文件、图片文件等。通常都把它们打包放在war文件中,这将增加了WAR文件的大小并且导致很多重复的加载静态资源。一个比较好的解决方法是使用Apache HTTP服务器去管理这些静态文件资源,下面是一个apache httpd.conf文件的配置摘录:
< Directory "/home/avneet/temp/static" >
Order allow,deny
Allow from all
< /Directory >
Alias /static "/home/avneet/temp/static"
以上的设置,使得访问http://localhost/static时,能访问到放在/home/avneet/temp/static下的资源。
允许使用新的aliases属性,指出静态文件资源的位置,可以通过使用Classloader.getResourceAsStream('/static/...')或者在链接中嵌入的方法让TOMCAT去解析绝对路径,下面是一个在context.xml中配置的例子:
< ?xml version="1.0" encoding="UTF-8"? >
< Context path="/tomcat7demo" aliases="/static=/home/avneet/temp/static" >
< /Context >
假设/home/avneet/temp/static这个文件夹存放有一张图片bg.png,如果war文件以tomcat7demo的名字部署,那么可以通过以下三个方式去访问这张图片
1 直接访问
http://localhost:8080/tomcat7demo/static/bg.png
2 在HTML链接中访问:< img src="/tomcat7demo/static/bg.png" / >
3 通过JAVA代码访问: ByteArrayInputStream bais = (ByteArrayInputStream)getServletContext().getResourceAsStream("/static/bg.png");
使用aliases的好处是可以代替Apache的httpd.conf的设置,并且可以在servlet容器范围内访问,并且不需要Apache。
TOMCAT 7的增强特性
5、对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持
Servlet 3的增强特性有:
• 可以在POJO或者过滤器filters中使用annotations注释(在web.xml中不再需要再进行设置了)
• 可以将web.xml分块进行管理了。也就是说,用户可以编写多个xml文件,而最终在web.xml中组装它们,这将大大降低web.xml的复杂性增强可读性。比如, struts.jar和spring-mvc.jar每一个都可以有一个web-fragment.xml。开发者不再需要在web.xml中去配置它们了,在web-fragment.xml中的jar文件会自动加载,并且struts/spring-mvc servlets和filters也会自动装配设置。
• 异步处理web的请求----这个特性在tomcat 6 中已经有了,现在在tomcat 7中以Servlet 3标准规范化了,能让使用异步I/O的web应用程序可以移植到不同的web容器中。异步处理使用非阻塞I/O,每次的HTTP连接都不需要对应一个线程。更少的线程可以为更多的连接提供服务。这对于需要长时间计算处理才能返回结果的情景来说是很有用的,比如产生报表,Web Servce调用等。
• 安全的增强---Servlet 3.0现在使用SSL 去加强了会话session的跟踪,代替了原来的cookie和URL重写。
6 、更容易将Tomcat内嵌到应用去中去
Tomcat 7现在可以嵌入到应用程序中去,并可以通过程序去动态设置和启动。象在CATALINA_HOME/conf/server.xml中的很多配置,现在都可以用程序动态去设置了。在Tomcat 7前,Tomcat 6提供了一个嵌入类,它能方便地去配置Tomcat。但在TOMCAT 7中,这个类已被废弃了。这个新的Tomcat 7的类,使用了几个默认的配置元素,并提供了一个更容易和简单的方法去嵌入Tomcat。
下面是CATALINA_HOME/conf/server.xml中的一些相关属性和配置:
< Server >
< Service >
< Connector port="8080 >
< Engine >
< Host appBase="/home/avneet/work/tomcat7demo/dist" / >
< /Engine >
< /Connector >
< /Service >
< /Server >
我们可以通过程序去进行动态设置了:
final String CATALINA_HOME = "/home/avneet/work/temp/tomcat7demo/";
Tomcat tomcat = new Tomcat();
tomcat.setBaseDir( CATALINA_HOME );
tomcat.setPort( 8080 );
tomcat.addWebapp("/tomcat7demo", CATALINA_HOME + "/webapps/tomcat7demo.war");
tomcat.start();
System.out.println("Started tomcat");
tomcat.getServer().await(); //Keeps Tomcat running until it is shut down
//Webapp tomcat7demo accessible at http://localhost:8080/tomcat7demo/
7 、异步日志记录
TOMCAT 7现在包括了一个异步日志记录器(AsyncFileHandler)。AsyncFileHandler继承了FileHandler类并能代替FileHandler。使用AsyncFileHandler,时,只需要在CATALINA_HOME/conf/logging.properties中把FileHandler全部替换为AsyncFileHandler就可以了。要注意的是异步日志不能跟log4一起工作。
当有日志发向AsyncFileHandler时,日志被加入到队列中(java.util.concurrent.LinkedBlockingDeque)并且方法调用的信息会马上返回不需要等待I/O写到磁盘中。当类加载器加载AsyncFileHandler时,会有一个单独的线程启动,这个线程会从队列中读取日志信息并且写到磁盘中去
这种方法的好处是如果I/O速度很慢(比如日志要保存在远端的设备上)时,记录日志的请求和处理过程不会显得很慢。
AsyncFileHandler使用生产者和消费者的关系原理,在队列中存储日志信息。队列默认大小为10000。为了预防队列溢出,默认是丢弃最后的信息。默认的队列大小和溢出的设置都可以通过启动参数进行设置。
关于TOMCAT 7的示例程序
TOMCAT 7的自带程序例子有两个servlets,一个是演示了如何采用随机数的办法防止CSRF攻击,另外一个是描述了使用aliases。更新一下web/META-INF/context.xml,指出图片的绝对路径即可顺利运行。
通过ant运行build.xml去将它们部署到tomcat 7中,使用如下两个地址访问:
• http://localhost:8080/tomcat7demo/csrf/
• http://localhost:8080/tomcat7demo/alias/
Tomcat的7引入了许多新功能,并对现有功能进行了增强。很多文章列出了Tomcat 7的新功能,但大多数并没有详细解释它们,或指出它们的不足,或提供代码示例。本文将明确描述TOMCAT 7中七个最显著的特征和新增的功能,并对其作出评论,而不是仅仅列出新的功能。本文还提供了代码例子以方便你可以对其有更好的理解。
本文分为两个部分,分别是”TOMCAT 7的新特性”和“TOMCAT 7增强的功能“。
TOMCAT 7新特性
1 使用随机数去防止跨站脚本攻击。
2 改变了安全认证中的jessionid的机制,防止session攻击。
3 内存泄露的侦测和防止
4 在war文件外使用别名去存储静态内容。
TOMCAT 7的增强功能
5 对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持
6 更容易将Tomcat内嵌到应用去中去,比如JBoss
7 异步日志记录
根据Mark Thomas,Tomcat 7委员会的经理的说法,Tomcat 7最显著的三个特征是Servlet 3.0,内存检测泄露和增强的安全特性。
Tomcat 7的例子程序中,包含了Eclipse的工程文件和Ant的构建文件,以方便去构建war文件。其中Eclipse工程文件有例子代码描述了Tomcat 7的一些新特性。
下面逐一开始介绍。
TOMCAT 7新特性
1、使用随机数去防止跨站请求伪造攻击。
Wikipedia将跨站请求伪造攻击(Cross Site Request forgery,CSRF)定义为:“一种影响Web应用的恶意攻击。CSRF让用户当进入一个可信任的网页时,被强行执行恶意代码。
经典的防止CSRF攻击的方法是使用随机数的方式,Wikipedia中定义为“利用随机或伪随机数嵌入到认证协议中,以确保旧的不能在以后的重放攻击中被利用。”
Tomcat 7中有一个servlet过滤器,用于将随机数存储在用户每次请求处理后的seesion会话中。这个随机数,必须作为每次请求中的一个参数。 Servlet过滤器然后检查在请求中的这个随机数是否与存储在用户session中的随机数是一样的。如果它们是相同的,该请求是判断来自指定的网站。如果它们是不同的,该请求被认为是从其他网站发出并且会被拒绝。
这个servlet过滤器是十分简单的,下面是从TOMCAT 源代码CsrfPreventionFilter文档中摘录的片段:
Java代码
public class CsrfPreventionFilter extends FilterBase {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM);
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);
if (expectedNonce != null && !expectedNonce.equals(previousNonce)) {
res.sendError(HttpServletResponse.SC_FORBIDDEN);
return;
}
String newNonce = generateNonce();
req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce);
public class CsrfPreventionFilter extends FilterBase {
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String previousNonce = req.getParameter(Constants.CSRF_NONCE_REQUEST_PARAM);
String expectedNonce = (String) req.getSession(true).getAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME);
if (expectedNonce != null && !expectedNonce.equals(previousNonce)) {
res.sendError(HttpServletResponse.SC_FORBIDDEN);
return;
}
String newNonce = generateNonce();
req.getSession(true).setAttribute(Constants.CSRF_NONCE_SESSION_ATTR_NAME, newNonce);
所以每个URL地址中都有一个从用户session中提取的随机数,下面是使用的JSTL例子:
在以前,JSTL中构造链接可以这样:
< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< /c:url >
< a href="${show}" >Show< /a >
而现在可以这样:
< c:url var="url" value="/show" >
< c:param name="id" value="0" / >
< c:param name="org.apache.catalina.filters.CSRF_NONCE" value="${session.org.apache.catalina.filters.CSRF_NONCE}" / >
< /c:url >
具体的例子可以参考TOMCAT 7自带例子中的演示,这个过滤器可以在web.xml中进行配置,配置后,所有访问如http://localhost:8080/tomcat7demo/csrf/ 的都必须带上参数,不带上参数的话会出现403禁止访问错误。
当然这种方法的缺点就是所有的链接都必须带上这个随机数。
2、 改变了安全认证中的jessionid的机制,防止session攻击。
Session劫持攻击通常是以下的情况:
1 恶意攻击者先访问一个网页,由于cookie是以jsession id的方式存储在浏览器中的,即使攻击者不登陆,他可以伪造一个带有jsession id的地址,把它发给受害者,比如
http://example.com/login?JESSIONID=qwerty)
2 受害者点这个带有jsessionid的链接,提示输入验证信息之后就登陆系统。
3 攻击者现在使用这个带jsessionid的链接,以受害者的身份登陆进系统了。
对于攻击者来说,将jsessionid加在url中以及通过一个恶意表单发送出去是很容易的事,对于session劫持攻击的更详细描述,请参考Acros Security组织的白皮书“Session Fixation Vulnerability in Web-based Applications”。
TOMCAT 7对此的解决方案是一个补丁,它在验证后改变了jsessionid。这个补丁主要是应用在TOMCAT 7中,当然在TOMCAT 5和6中也可以使用但只是有些不同。
根据Mark Thomas说的,应用了Tomcat 7的这个补丁后:
• TOMCAT默认情况下安全性不再变得脆弱,因为验证后会话发生了变化
• 如果用户改变了默认设置(比如应用程序不能处理变化了的session id),风险也会降到最小,因为在Servlet 3中,可以禁止在url中进行会话跟踪。
而在TOMCAT 5和TOMCAT 6中,应用了补丁后:
• 能阻止session劫持攻击,因为能让TOMCAT在验证后改变session id。
• 如果应用程序不能处理变化了的session id,可以通过写自定义的过滤器去检查request.isRequestedSessionIdFromURL()和其返回的结果,以降低风险。
以上这些改变都是TOMCAT在幕后所做的,开发者根本不用去理会。
3 、内存泄露的侦测和防止
开发者在部署他们写的程序到生产环境上时,经常会遇到Pemgen错误:OutOfMemoryError。这是由于内存泄露而引起的。通常开发者是通过增大permgen内存的大小去解决或者就是重新启动tomcat。
TOMCAT 7包含了一个新的特性,它通过把不能垃圾回收的引用对象移走的方法,能解决一些Permgen内存泄露的问题。这个特性对程序员部署应用程序在他们的开发环境中是十分方便的,因为程序员在开发环境中为了节省时间一般不重新启动Tomcat就能部署新的war文件。在生产环境中,最好的建议还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。
当然,内存泄露检测和防止这个特性现在还不是很完善,还是有的情况TOMCAT不能检测内存泄露和修复之的,所以对于生产环境,最好的的办法还是停掉TOMCAT,然后清除work下面的目录文件并且重新部署应用。
Mark Thomas解析应用程序或者库程序在如下情况下会触发内存泄露:
• JDBC驱动的注册
• 一些日志框架
• 在ThreadLocals中保存了对象但没有删除它们
• 启动了线程但没停止
而 Java API 存在内存泄漏的地方包括:
1.使用 javax.imageio API ( Google Web Toolkit会用到)
2.使用 java.beans.Introspector.flushCaches()
3.使用 XML 解析器
4.使用 RMI 远程方法调用
5.从 Jar 文件中读取资源
4、 在war文件外使用别名去存储静态内容
Web应用程序需要静态资源文件,比如象CSS,Javascript和视频文件、图片文件等。通常都把它们打包放在war文件中,这将增加了WAR文件的大小并且导致很多重复的加载静态资源。一个比较好的解决方法是使用Apache HTTP服务器去管理这些静态文件资源,下面是一个apache httpd.conf文件的配置摘录:
< Directory "/home/avneet/temp/static" >
Order allow,deny
Allow from all
< /Directory >
Alias /static "/home/avneet/temp/static"
以上的设置,使得访问http://localhost/static时,能访问到放在/home/avneet/temp/static下的资源。
允许使用新的aliases属性,指出静态文件资源的位置,可以通过使用Classloader.getResourceAsStream('/static/...')或者在链接中嵌入的方法让TOMCAT去解析绝对路径,下面是一个在context.xml中配置的例子:
< ?xml version="1.0" encoding="UTF-8"? >
< Context path="/tomcat7demo" aliases="/static=/home/avneet/temp/static" >
< /Context >
假设/home/avneet/temp/static这个文件夹存放有一张图片bg.png,如果war文件以tomcat7demo的名字部署,那么可以通过以下三个方式去访问这张图片
1 直接访问
http://localhost:8080/tomcat7demo/static/bg.png
2 在HTML链接中访问:< img src="/tomcat7demo/static/bg.png" / >
3 通过JAVA代码访问: ByteArrayInputStream bais = (ByteArrayInputStream)getServletContext().getResourceAsStream("/static/bg.png");
使用aliases的好处是可以代替Apache的httpd.conf的设置,并且可以在servlet容器范围内访问,并且不需要Apache。
TOMCAT 7的增强特性
5、对Servlet 3.0,JSP 2.2和JSP-EL 2。2的支持
Servlet 3的增强特性有:
• 可以在POJO或者过滤器filters中使用annotations注释(在web.xml中不再需要再进行设置了)
• 可以将web.xml分块进行管理了。也就是说,用户可以编写多个xml文件,而最终在web.xml中组装它们,这将大大降低web.xml的复杂性增强可读性。比如, struts.jar和spring-mvc.jar每一个都可以有一个web-fragment.xml。开发者不再需要在web.xml中去配置它们了,在web-fragment.xml中的jar文件会自动加载,并且struts/spring-mvc servlets和filters也会自动装配设置。
• 异步处理web的请求----这个特性在tomcat 6 中已经有了,现在在tomcat 7中以Servlet 3标准规范化了,能让使用异步I/O的web应用程序可以移植到不同的web容器中。异步处理使用非阻塞I/O,每次的HTTP连接都不需要对应一个线程。更少的线程可以为更多的连接提供服务。这对于需要长时间计算处理才能返回结果的情景来说是很有用的,比如产生报表,Web Servce调用等。
• 安全的增强---Servlet 3.0现在使用SSL 去加强了会话session的跟踪,代替了原来的cookie和URL重写。
6 、更容易将Tomcat内嵌到应用去中去
Tomcat 7现在可以嵌入到应用程序中去,并可以通过程序去动态设置和启动。象在CATALINA_HOME/conf/server.xml中的很多配置,现在都可以用程序动态去设置了。在Tomcat 7前,Tomcat 6提供了一个嵌入类,它能方便地去配置Tomcat。但在TOMCAT 7中,这个类已被废弃了。这个新的Tomcat 7的类,使用了几个默认的配置元素,并提供了一个更容易和简单的方法去嵌入Tomcat。
下面是CATALINA_HOME/conf/server.xml中的一些相关属性和配置:
< Server >
< Service >
< Connector port="8080 >
< Engine >
< Host appBase="/home/avneet/work/tomcat7demo/dist" / >
< /Engine >
< /Connector >
< /Service >
< /Server >
我们可以通过程序去进行动态设置了:
final String CATALINA_HOME = "/home/avneet/work/temp/tomcat7demo/";
Tomcat tomcat = new Tomcat();
tomcat.setBaseDir( CATALINA_HOME );
tomcat.setPort( 8080 );
tomcat.addWebapp("/tomcat7demo", CATALINA_HOME + "/webapps/tomcat7demo.war");
tomcat.start();
System.out.println("Started tomcat");
tomcat.getServer().await(); //Keeps Tomcat running until it is shut down
//Webapp tomcat7demo accessible at http://localhost:8080/tomcat7demo/
7 、异步日志记录
TOMCAT 7现在包括了一个异步日志记录器(AsyncFileHandler)。AsyncFileHandler继承了FileHandler类并能代替FileHandler。使用AsyncFileHandler,时,只需要在CATALINA_HOME/conf/logging.properties中把FileHandler全部替换为AsyncFileHandler就可以了。要注意的是异步日志不能跟log4一起工作。
当有日志发向AsyncFileHandler时,日志被加入到队列中(java.util.concurrent.LinkedBlockingDeque)并且方法调用的信息会马上返回不需要等待I/O写到磁盘中。当类加载器加载AsyncFileHandler时,会有一个单独的线程启动,这个线程会从队列中读取日志信息并且写到磁盘中去
这种方法的好处是如果I/O速度很慢(比如日志要保存在远端的设备上)时,记录日志的请求和处理过程不会显得很慢。
AsyncFileHandler使用生产者和消费者的关系原理,在队列中存储日志信息。队列默认大小为10000。为了预防队列溢出,默认是丢弃最后的信息。默认的队列大小和溢出的设置都可以通过启动参数进行设置。
关于TOMCAT 7的示例程序
TOMCAT 7的自带程序例子有两个servlets,一个是演示了如何采用随机数的办法防止CSRF攻击,另外一个是描述了使用aliases。更新一下web/META-INF/context.xml,指出图片的绝对路径即可顺利运行。
通过ant运行build.xml去将它们部署到tomcat 7中,使用如下两个地址访问:
• http://localhost:8080/tomcat7demo/csrf/
• http://localhost:8080/tomcat7demo/alias/
发表评论
-
Tomcat 下配置https
2014-05-13 17:56 626引用 今天按照网上的教程做了一下在Tomcat下配置https ... -
HDFS详解
2011-12-06 10:31 2183http://www.cnblogs.com/chinacl ... -
git 远程管理
2011-12-05 23:20 1358Pro Git professional version c ... -
KV存储
2011-12-05 23:07 3582KV-存储 之 Hash算法 http://www.ces ... -
互联网常见Open API文档资源
2011-11-16 15:15 1062所谓的开放API(OpenAPI)是服务型网站常见的一种应用, ... -
Jdk1.6+Tomcat6+Apache2+jk_mod1.2+PHP5+MySql5安装与配置详解
2011-11-06 20:38 980http://jiarry.bokee.com/2375369 ... -
下载mod_jk.so地址
2011-11-06 18:34 1877apache版本与mod_jk.so版本要一致,要是不一致就 ... -
php环境安装视频教程
2011-11-05 18:03 901http://dv.ce.cn/video/2010/12/3 ... -
PHP环境配置:Apach+Tomcat+mysql+php
2011-11-05 15:22 67491》下载需要的软件: Apache : apa ... -
Apache的使用方法
2011-11-05 15:18 23541http://www.heibai.net/book/html ... -
轻松搭建一个Windows SVN服务器
2011-11-04 21:58 803http://www.williamlong.info/arc ... -
SDO的使用
2011-11-04 15:26 1008http://www.ibm.com/developerwor ... -
Tomcat安全域设置大全
2011-10-26 10:13 1170安全域是tomcat内置的功能,在org.apache.cat ... -
Tomcat-阀
2011-10-26 10:03 766Tomcat的阀能够对容器接收到的HTTP请求进行预处理.阀可 ... -
loadRunner的使用教程视频
2011-08-24 16:37 929http://v.youku.com/v_playlist/f ... -
IIS日志的配置
2011-08-22 18:37 1016http://www.docin.com/p-13596823 ... -
webalizer流量分析软件windows下的配置与使用
2011-08-22 11:52 7310http://www.cnblogs.com/sdytzz/a ... -
JBPM的一点资料
2011-08-06 00:09 1024开源世界的版本问题,永远是入门者的噩梦,简单记录一些资料。 目 ... -
java获取系统时间
2011-08-04 15:24 7471. new java.util.Date() 2. ... -
安装Tomcat
2011-08-04 12:34 904MyEclipse下安装Tomcat http://blog. ...
相关推荐
以下是对Tomcat 7七大新特性的详细说明: 1. **改进的WebSocket支持**: Tomcat 7开始支持JavaScript API for WebSocket(JSR 356),为Web应用程序提供了低延迟、双向通信的能力。WebSocket允许创建持久连接,...
标题中的“tomcat7 tomcat9 两个资源”指的是Apache Tomcat服务器的第七个和第九个主要版本。Tomcat是一款开源的Java Servlet容器,主要用于部署和运行Java Web应用程序。这两个版本之间的差异在于功能的增强、性能...
Tomcat 7引入了许多新特性,如改进的JMX(Java Management Extensions)支持,增强了管理工具,提升了性能,并对Servlet 3.0、JSP 2.2和EL 2.2等规范进行了支持。这些更新使得Tomcat 7成为开发和部署现代Java Web...
Tomcat 7是Tomcat的第七个主要版本,它支持Java Servlet 3.0、JavaServer Pages (JSP) 2.2以及Expression Language (EL) 2.2规范。这些技术为开发动态Web内容提供了强大的框架。Tomcat 7相对于之前的版本在性能和...
在本文中,我们将深入探讨Apache Tomcat的核心特性、工作原理以及如何安装和配置。 一、Apache Tomcat概述 Apache Tomcat是由Apache软件基金会维护的项目,它是Java Servlet和JSP规范的主要实现之一。作为轻量级...
七、Tomcat集群与负载均衡 当需要处理高并发时,可以设置Tomcat集群,实现负载均衡。这通常通过网络负载均衡器或者使用Apache HTTP Server的mod_proxy模块来实现。 八、Tomcat与其它服务器集成 Tomcat可以与Apache ...
【标题】"Tomcat7.0.39官方安装包" 涉及的主要知识点是Apache Tomcat服务器的第七个主要版本的39次小更新。Tomcat是一款开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages(JSP)规范,是Web应用程序...
Tomcat,作为Apache软件基金会的一个开源项目,是Java Servlet和JavaServer Pages(JSP)技术的Web应用服务器,以其轻量级、高效能和易于管理的特性在众多Web服务器中脱颖而出。本资源包"tomcat-9.2.3.zip"聚焦于...
这里的“Tomcat7 32位”指的是Tomcat的第七个主要版本,专为32位操作系统设计。这个版本的Tomcat在发布时已经经过广泛的测试,确保了其稳定性和兼容性。 Tomcat7相较于之前的版本,引入了许多新特性和改进。例如,...
【描述】"tomcat7.0" 提示我们讨论的是Tomcat的第七个主要版本。这个版本引入了多项改进和新特性,包括对Java EE 6的支持,提供了更好的性能和稳定性。Tomcat 7.0系列的发布标志着Java Web应用部署的一个重要里程碑...
Tomcat7.0是其7.x系列的一个稳定版本,支持Java Servlet 3.0和JSP 2.2规范,提供了许多性能改进和新特性。 二、安装与配置 1. 下载与解压:首先从Apache官方网站下载Tomcat7.0的zip或tar.gz压缩包,然后将其解压到...
标签"tomcat7"进一步强调了讨论的主题,即Tomcat的第七个主要版本。在这一版本中,Tomcat引入了许多改进和新特性,例如支持Java EE 6规范,包括Servlet 3.0、JSP 2.2和EL 2.2等。此外,它还增强了安全管理、线程池...
二、Tomcat 6.0.33主要特性 1. 支持Servlet 2.5和JSP 2.1规范,提供了强大的Web应用处理能力。 2. 提供了更好的性能和安全性优化,相较于早期版本,6.0.x系列在内存管理和线程处理上有所改进。 3. 引入了Catalina、 ...
【标签】"tomcat7" 明确了讨论的主题,即Tomcat的第七个主要版本线。Tomcat 7引入了许多新特性,比如支持Servlet 3.0和JSP 2.2标准,增强了对WebSocket的支持,以及改进了管理工具和部署流程。 【压缩包子文件的...
"Tomcat-7"是我们讨论的重点,这个版本是Tomcat服务器的第七个主要版本,发布于2013年,提供了许多新功能和改进,旨在提高性能、安全性和稳定性。 1. **Servlet 3.0支持**:Tomcat 7支持Servlet 3.0规范,带来了...
【标题】"Tomcat7最新版本"涉及到的是Apache Tomcat服务器的第七个主要版本,即7.0.26。Tomcat是一款广泛使用的开源Java Servlet容器,它实现了Java EE的Servlet和JavaServer Pages (JSP) 规范,用于部署和运行Java ...
Tomcat以其轻量级、高效和易于管理的特性,成为了许多小型到中型企业级应用的首选服务器。 二、Tomcat安装与配置 1. 安装:Tomcat通常以zip或tar.gz格式提供,用户可以通过下载并解压到指定目录进行安装。 2. 配置...
Tomcat 7.0是Apache Tomcat的第七个主要版本,它引入了许多增强功能和改进。7.0.40是这个版本的一个稳定更新,提供了对Java EE 6的支持,包括Servlet 3.0、JSP 2.2和EL 2.2标准。以下是一些关键特性: 1. **Servlet...
Tomcat的安全特性包括用户认证、授权、SSL/TLS加密等。7.0.42版本加强了对XSS、CSRF等常见攻击的防护,同时引入了更严格的权限控制策略,以保护应用免受恶意攻击。 六、部署与管理 Tomcat支持多种部署方式,如热...