- 浏览: 919435 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (537)
- Java SE (114)
- Struts (18)
- Hibernate (25)
- Spring (3)
- Page_Tech (41)
- Others (87)
- Database (29)
- Server (24)
- OpenSource_Tools (15)
- IDE_Tool (22)
- Algorithm (28)
- Interview (22)
- Test (28)
- Hardware (1)
- Mainframe (25)
- Web application (4)
- Linux (3)
- PHP (17)
- Android (1)
- Perl (6)
- ubuntu (1)
- Java EE (9)
- Web Analysis (5)
- Node.js (2)
- javascript (2)
最新评论
-
一键注册:
request.getRequestURL()和request.getRequestURI() -
SuperCustomer:
...
SED的暂存空间和模式空间 -
juyo_ch:
讲得挺好理解的,学习了
java 死锁及解决 -
chinaalex:
最后一题答案正确,但是分析有误.按照如下过程,上一行为瓶,下一 ...
zz智力题 -
liaowuxukong:
多谢博主啦,弱弱的了解了一点。
C++/Java 实现多态的方法(C++)
本人在看《J2EE核心模式》(“Core J2ee Patterns”,刘天北、熊节译),里面提到了一种实现资源保护的方法,那就是把那些限制访问的资源(比如说jsp源代码)放到Web应用的WEB-INF目录下,对于/web-INF/及其子目录,不允许直接的公共访问,所以就可以起到保护这些代码未经授权的访问和窥视,更好的保护了源代码(19页)。
这么书只是对这种方法进行了简单的介绍,没有描述详细处理方法,我测试了一下,没有办法对放到/WEB-INF的文件进行访问,所以我就上网搜索了一下,才明白了具体的处理方法,感觉非常适合用在STRUTS结构上的系统。下面请听我详细说明。
通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。一个典型的商店应用程序的目录结构如图2所示。跟catalog (商品目录)相关的JSP被保存在catalog子目录下。跟customer相关的JSP,跟订单相关的JSP等都按照这种方法存放。
图 2.基于不同的功能 JSP 被放置在不同的目录下
============================================================================
为了更好地保护你的JSP避免未经授权的访问和窥视, 一个好办法是将页面文件存放在Web应用的WEB-INF目录下。
通常JSP开发人员会把他们的页面文件存放在Web应用相应的子目录下。一个典型的商店应用程序的目录结构如图2所示。跟catalog (商品目录)相关的JSP被保存在catalog子目录下。跟customer相关的JSP,跟订单相关的JSP等都按照这种方法存放。
图 2.基于不同的功能 JSP 被放置在不同的目录下
这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的controller直接调用JSP同样也是个问题。
为了减少风险,可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP。
采用前面的例子,图3显示将JSP页面移到WEB-INF 目录下后的目录结构
图 3. JSP存放在 WEB-INF 目录下更为安全
如果把这些JSP页面文件移到WEB-INF 目录下,在调用页面的时候就必须把"WEB-INF"添加到URL中。例如,在一个Struts配置文件中为一个logoff action写一个Action mapping。其中JSP的路径必须以"WEB-INF"开头。如下所示:
<action
path="/logoff"
type="org.apache.struts.webapp.example.LogoffAction">
<forward name="success" path="/WEB-INF/jsp/index.jsp"/>
</action>
这个方法在任何情况下都不失为Struts实践中的一个好方法。是唯一要注意的技巧是你必须把JSP和一个Struts action联系起来。即使该Action只是一个很基本的很简单JSP,也总是要调用一个Action,再由它调用JSP。
最后要说明的是,并不是所有的容器都能支持这个特性。WebLogic早期的版本不能解释Servlet声明,因此无法提供支持,据报道在新版本中已经改进了。总之使用之前先检查一下你的Servlet容器。
这种方法的问题是这些页面文件容易被偷看到源代码,或被直接调用。某些场合下这可能不是个大问题,可是在特定情形中却可能构成安全隐患。用户可以绕过Struts的controller直接调用JSP同样也是个问题。
为了减少风险,可以把这些页面文件移到WEB-INF 目录下。基于Servlet的声明,WEB-INF不作为Web应用的公共文档树的一部分。因此,WEB-INF 目录下的资源不是为客户直接服务的。我们仍然可以使用WEB-INF目录下的JSP页面来提供视图给客户,客户却不能直接请求访问JSP。
采用前面的例子,图3显示将JSP页面移到WEB-INF 目录下后的目录结构
图 3. JSP存放在 WEB-INF 目录下更为安全
如果把这些JSP页面文件移到WEB-INF 目录下,在调用页面的时候就必须把"WEB-INF"添加到URL中。
我们知道,实现页面的跳转有两种方式,一种是通过redirect的方式,一种是通过forward的方式。redirect方式的跳转,系统会在一个新的页面打开要跳转的网页;而forward方式跳转,系统会在原来的页面上打开一个要跳转的网页。所以放到WEB-INF目录下的文件是不允许采用redirect方式的跳转来访问的,如下
例1:/test/test1.jsp文件
<html>
<body>
<form name="testform" action="/WEB-INF/jsp/test/test.jsp">
<input type = "submit" value="test">
</form>
</body>
</html>
上面这段语句只有一个名为test的按钮,如果单击这个按钮是,系统就会跳转到/WEB-INF/jsp/test/test.jsp,它的代码如下:
例2:/WEB-INF/jsp/test/test.jsp文件
<html>
<body>
跳转成功!
</body>
</html>
事实上,这个跳转是无法成功的,点击按钮后,IE会报“403 Forbidden”的错误。
而forward方式的跳转则可以成功,如下代码:
例3:/test/test2.jsp文件
<html>
<body>
<form name="testform">
<jsp:forward page = "/WEB-INF/jsp/test/test.jsp" />
</form>
</body>
</html>
请注意上面红色的语句,这段就是通过forward的形式来访问/WEB-INF/jsp/test/test.jsp文件,在IE输入地址http://localhost/test1/test2.jsp,网页上就显示“跳转成功!”的信息了,这表示放到了WEB-INF可以通过forward的方式来访问。
个人认为,像这种方式的可能不大时候采用一般jsp进行编程的系统,因为很多页面上都有采用submit这样的方式来进行跳转,但这种方式却非常适合采用struts结构的系统。因为采用这个结果大多是先跳转到一个Action类,然后在Action类进行相关处理后(比如说获取相关的信息保存到session中,进行有效性的判断),然后再forward到另外一个页面,这样放到WEB-INF中的jsp代码可以被正常访问,也防止了对这些页面的直接访问,下面我来举例说明。
下面我们先对配置文件struts-config.xml进行配置,如下:
例4:WEB-INF/struts-config.xml文件
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE struts-config PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 1.1//EN" "http://jakarta.apache.org/struts/dtds/struts-config_1_1.dtd">
<struts-config>
<!-- ========== Action Mapping Definitions ============================== -->
<action-mappings>
<action path="/test" type=" test.TestAction" scope="request">
<forward name="test" path="/WEB-INF/jsp/test/test.jsp"/>
</action>
</action-mappings>
</struts-config>
上面这个配置非常简单,请看红色部分,这里定义了一个action类,它的路径为/test,所对应的类为test.TestAction.java,它都一个跳转页面,别名为test,对应的页面为/WEB-INF/jsp/test/test.jsp。
下面我们对例1的内容进行修改,使其跳转到/test去。
例5:修改后的/test/test1.jsp文件
<html>
<body>
<form name="testform" action="/test">
<input type = "submit" value="test">
</form>
</body>
</html>
这样我们在IE中访问http://localhost/test/test1.jsp,然后点击test按钮,页面就会跳转到test.TestAction.java这个类来,下面是这个类的内容。
package test;
import javax.servlet.http.*;
import org.apache.struts.action.ActionMapping;
import org.apache.struts.action.Action;
import org.apache.struts.action.ActionForm;
import org.apache.struts.action.ActionForward;
public class TestAction extends Action
{
public ActionForward perform(ActionMapping mapping,
ActionForm form, HttpServletRequest req,
HttpServletResponse res)
{
return mapping.findForward("test");
}
}
可以看到,这个类是继承Action类的,所有的控制类都必须继承Action类,这个类里面有一个perform方法,跳转到这个类都是从这个方法进行访问的(新版本可以是execute方法),现在这个方法里面只有一条语句,这句话的意思就是跳转到一个别名为test的页面,也就是/WEB-INF/jsp/test/test.jsp页面,这样我们点击test按钮后,IE就会显示“跳转成功!”这条信息,这表示系统允许这样的跳转。
发表评论
-
iPhone5s插件推荐 越狱后必装的50个插件
2014-12-31 16:58 15781. Activator (没有之一的强大手势操作软件)2. ... -
JS automation 环境迁移备注
2014-11-15 11:17 0此次迁移涉及的问题记录如下: 1) Jenkins 直接把 ... -
MacOS 怎么写NFS移动硬盘
2014-11-14 19:13 27051、打开命令行终端。 2、插上移动硬盘,这时候你在Find ... -
How can I resize a partition with Disk Utility (Bottom-up)
2014-10-10 14:30 490Create a new volume in the bla ... -
Outlook 邮件提醒长期显示
2012-08-30 10:38 1373I thought it was one of th ... -
chrome 背景色的设置
2012-07-17 09:56 3033最近换了浏览器,开始喜欢上chrome。 为了保护眼睛 ... -
日常生活中练习右脑
2012-07-12 10:16 1270成年人在日常琐细的生活中,同样可以采取各种方法锻炼右脑。 ... -
大公司面试集锦
2012-06-18 10:23 1379微软十五道面试题 1、有一个整数数组,请求出两两之差绝对值最 ... -
商务英语中的委婉表达
2012-06-18 10:19 12781. 委婉: 1) 动词:think、hope、re ... -
放松颈椎的几个动作
2012-05-29 12:41 1200随时放松颈部肌肉 ... -
drupal简单的体验
2012-05-24 15:41 886第一步: 到 drupal.org下下载最新的Drupal ... -
HtmlParser进行解析原理
2012-05-23 13:48 1183这两天准备做一些网站编程的工作,于是对HtmlParse小研究 ... -
使用HtmlParser提取HTML文本块
2012-05-23 13:46 1477听人介绍说HtmlParser(Java版本)在网页预处理 ... -
[zz] Opencms vs Magnolia
2012-05-22 10:35 2023最近一直在挑选CMS,Opencms和Magnolia是考察的 ... -
面向对象的三个基本特征
2012-04-25 14:56 831面向对象的三个基本特征是:封装、继承、多态。 ... -
Maven vs Ant
2012-04-23 14:35 1205Ant 将提供了很多可以重用的task,例如 copy, mo ... -
zz智力题
2012-03-26 22:50 12781、有两根不均匀分布 ... -
几种开源Portal的简单介绍分析
2012-02-21 22:42 2465主要包括:Pluto,Liferay,eXo,Jetsp ... -
Portal top ten
2012-02-21 22:37 1004TOP1 独立网店系统 Sh ... -
英文面试须知
2012-02-16 15:11 991英语面试需要好好准备 ...
相关推荐
- **功能**: 存放源代码文件,虽然不是必须的,但在开发过程中有时会被使用到。 **5. WEB-INF/database.properties 文件** - **用途**: 存储数据库连接配置信息,例如 JDBC 驱动、URL、用户名和密码等。 - **示例...
大家都喜欢把配置文件放在src目录下,如果有10个以上的配置文件为什么不考虑在WEB-INF目录下新建一个文件夹,专门放配置文件;这样即好管理,文件安全性又高。亲问题已经解决,把源代码共享给大家,已经通过测试;...
在JSP中,`web-inf`目录是一个特殊目录,它是Web应用的标准结构的一部分。根据Java Servlet规范,`WEB-INF`目录包含不直接对外公开的文件,如Servlet类、配置文件以及库(JAR文件)。这个目录下的文件不能通过URL...
在Java Web应用程序中,WEB-INF目录是一个非常重要的组成部分,它包含了一些对用户不可见的敏感资源,如Web应用的配置文件(web.xml)、类文件(通过编译的Java源代码)以及库(JAR文件)。这个目录的设计目的是为了...
把JSP放到WEB-INF后以保护JSP源代码 22 使用 Prebuilt Action类提升开发效率 23 Struts标记库 25 定制JSP标记 25 资源束 26 Bean标记 27 Bean复制标记 27 定义脚本变量的标记 28 显示Bean属性 29 消息标记...
【JSP实用教程源代码】是一份详细的编程学习资源,主要涵盖了Java Server Pages(JSP)技术的应用和实践。这份教程由耿祥义编写,旨在帮助开发者深入理解JSP并提高实际开发能力。通过分析和实践这些源代码,学习者...
此部分是指文件夹名为第1~9章中的内容(如表1),这些是书中介绍JSP相关知识的源代码。文件的命名规则与书中相应源代码文件名一致。读者可将相关文件夹(如ch2)拷贝到Tomcat服务器安装目录的子目录webapps下,并...
1.把vote、WEB-INF(vote文件夹存放的是.jsp文件,WEB-INF存放的是该系统使用到的一些.class文件)文件夹上传到你的主机目录。 2.修改DBConnect.java里连接MySQL数据库的IP、用户名和密码为你自己的IP,user, ...
学习JSP开发的典型案例,1.... 如果某些章节中要使用Bean或Servlet或嵌入Applet,那么需将本章下.java文件编译,然后复制到JSP文件所在目录的\WEB-INF\classes目录下,并以章节名如ch4建立文件夹。
总结,这个JSP交友网站源代码涵盖了Web开发中的多个关键知识点,包括前后端交互、数据库操作、用户认证、安全性、性能优化等,对于学习和实践JSP开发具有较高的参考价值。通过对这些技术的深入理解和实践,开发者...
通过研究这个JSP聊天室的源代码,开发者可以学习到如何使用JSP和Servlet进行前后端交互,如何处理HTTP请求,如何设计简单的用户认证系统,以及如何利用Access数据库存储和检索数据。这对于提升Web开发技能,尤其是...
总之,JSP源代码泄露是Web应用安全的一个重要问题,理解和使用"jsp暴源代码工具"可以帮助我们更好地保护Web应用,确保其安全稳定运行。同时,我们也应该了解如何预防和修复源代码泄露,以增强系统的整体安全性。
根据提供的信息,我们可以总结出以下关于“jsp大学教程代码”的相关知识点: ### 一、JSP与Struts框架概述 **JSP (Java Server Pages)** 是一种基于Java技术的服务器端脚本语言,用于创建动态网页。JSP 页面将HTML...
**JSP源代码分析** 1. **示例项目结构**:通常,一个JSP项目包含Web-INF目录、源代码目录、静态资源目录等,源代码文件可能分布在不同的目录下,对应于不同的功能模块。 2. **Servlet映射**:JSP最终会被编译为...
【标题】:“jsp项目---博客网.rar”是一个基于JSP技术构建的博客网站源代码压缩包。这个项目可能包含了实现一个完整的博客系统所需的所有文件,包括但不限于HTML、CSS、JavaScript前端页面,以及JSP、Servlet、...
`spring-boot-starter-web` 提供了基础的 Web 开发功能,而 `spring-boot-starter-tomcat` 则包含了内嵌的 Tomcat 容器,它是运行 JSP 的必要条件。 ```xml <groupId>org.springframework.boot <artifactId>...
【标签】:“jsp项目---图书馆管理系统.rar”标签表明这个压缩包包含了JSP编程语言相关的源代码,特别适用于学习JSP开发、Web应用程序设计或者图书馆信息化管理的学生或专业人士。 【文件名称列表】:由于只给出了...
品红项目作为一个完整的Web应用,其目录结构一般包括了WEB-INF目录,其中包含了web.xml(Web应用的配置文件),lib目录(存放项目所需的JAR库),以及src目录(存放Java源代码,包括Servlet和JSP页面)。此外,还有...
【顺天科技论坛JSP源代码】是一个基于JavaServer Pages(JSP)技术构建的在线讨论平台的源码集合。JSP是Java EE(企业版)框架中的一个重要组成部分,用于开发动态网页应用。通过深入研究这个论坛的源代码,我们可以...
安装Tomcat后,需要将JSP文件放在Web应用的Web-INF目录下的WEB-INF/web.xml文件中配置。在web.xml中,你可以定义Servlet、监听器、过滤器等,这些都是JSP应用程序的重要组成部分。此外,还需要设置环境变量,确保...