`
xplq
  • 浏览: 90047 次
  • 性别: Icon_minigender_1
  • 来自: 成都
社区版块
存档分类
最新评论

对web-info下的资源保护策略

阅读更多
在企业产品的开发中,为了对资源进行保护,可把文件放在WEB-INF下,然而这样的话,访问资源需要一些策略,个人总结可采用:
一:使用jsp:forward
在页面上直接使用jsp:forward,如<jsp:forward page = "/WEB-INF/view/thinking/result.jsp" />
二:配置web.xml
<!--设置访问资源 -->
<servlet>
  <servlet-name>test</servlet-name>
  <jsp-file>/WEB-INF/view/thinking/test.jsp</jsp-file>
</servlet>
<servlet-mapping>
  <servlet-name>test</servlet-name>
  <url-pattern>/test.jsp</url-pattern>
</servlet-mapping>

这样就可以在浏览器中输入:如:(注:D为工程名)
http://localhost:8888/D/test.jsp
这样配置只能针对单个文件,如果有多个文件需要进行保护,则配置文件显得臃肿.
三:利用拦截器
自己制作个类充当拦截器,拦截器类
package net.cokeframework.Dispather;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class Dispather extends HttpServlet {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	static String pubInit = "";
	static String selInit = "";

	@Override
	public void init() throws ServletException {
		// TODO Auto-generated method stub
		if (pubInit == "") {
			pubInit = this.getServletContext().getInitParameter("root");
		}
		if (selInit == "") {
			selInit = this.getInitParameter("child");
		}
	}

	@Override
	protected void doPost(HttpServletRequest req, HttpServletResponse resp)
			throws ServletException, IOException {
		doGet(req, resp);
	}

	@Override
	protected void doGet(HttpServletRequest req, HttpServletResponse resp)
			throws ServletException, IOException {
                 	String spath=req.getServletPath();//servlet路径
		String cpath=req.getContextPath(); //Context路径.
		String url=req.getRequestURI();//url路径	
		String path=pubInit+selInit+url.substring((cpath+spath).length());//拼接请求的真正路径
		//System.out.println("spath:\t"+spath+"\ncpath:\t"+cpath+"\nurl:\t"+url+"\npath:"+path);
		req.getRequestDispatcher(path).forward(req, resp);
	}
}


由此可见,这个拦截器也没有什么特别的,只是拼接请求的资源真正的路径,利用服务器的转发请求.
当然顺便提一下,不能使用sendRedirect,为简单的重定向,只能用于客户端上资源进行转发,不能用sendRedirect,而getRequestDispatcher,为服务器上资源之间进行转发.关于他们之间的其他区别,不是本文讨论的范围.
同时配置web.xml
<!-- 拦截器 -->
	<context-param>
		<param-name>root</param-name>
		<param-value>/WEB-INF</param-value>
	</context-param>
	<servlet>
		<servlet-name>dis</servlet-name>
		<servlet-class>net.cokeframework.Dispather.Dispather</servlet-class>
		<init-param>
			<param-name>child</param-name>
			<param-value>/view</param-value>
		</init-param>		
	</servlet>
	<servlet-mapping>
		<servlet-name>dis</servlet-name>
		<url-pattern>/dis/*</url-pattern>
	</servlet-mapping>

这样,就可以对view文件夹下的进行访问了,如
http://localhost:8888/D/dis/study/test.jsp
就可以访问web-inf/view/study/test.jsp.
以上只是作为个人的一些见解.如有其他更高明的方法,请告之.
另献上工程(利用lomboz制作),方便讨论
分享到:
评论

相关推荐

    请求重定向无法访问web-inf下的资源1

    因此,当尝试通过URL直接重定向到WEB-INF下的资源时,服务器会拒绝这种请求,因为这违反了安全策略。 **问题的根本原因** 请求重定向(Redirect)是HTTP协议中的一个概念,通常使用`response.sendRedirect()`方法来...

    greenplum-cc-web-6.8.0-gp6-rhel7-x86_64.zip

    在部署Greenplum CC Web 6.8.0-GP6时,需要考虑硬件资源、网络拓扑、安全策略等多个方面。安装过程中,需遵循官方提供的步骤,正确配置参数,确保所有节点间的通信正常。同时,定期进行性能调优和维护,以保持系统的...

    mall-admin-web-master.zip

    可能使用JWT(JSON Web Tokens)进行身份验证,实现基于角色的访问控制(RBAC),确保不同角色的用户只能访问他们被授权的资源。 4. **API设计与RESTful原则**:后台项目通常会提供API接口供前端或其他服务调用。...

    arcgis-web-appbuilder-2.25.zip

    《ArcGIS Web AppBuilder 2.25:零编码实现Web GIS开发》 ArcGIS Web AppBuilder(简称WAB)是Esri公司提供的一款强大的Web GIS应用开发工具,旨在帮助开发者和非程序员快速构建交互式的地图应用。在2.25这个版本中...

    JSP页面中限制对Web资源的访问

    ### JSP 页面中限制对 Web 资源的访问 在现代 Web 开发中,安全性是至关重要的一个方面。为了确保系统的安全性和数据的保护,开发者必须实施有效的访问控制策略。其中一种常见的做法是在 Java Server Pages (JSP) ...

    利用自定义web-font实现数据防采集

    1. 多格式支持:考虑到不同浏览器对Web字体格式的支持程度,应提供多种格式的字体资源,以确保在各种环境下都能正常显示。 2. 字体缓存:利用HTTP缓存机制,将Web字体缓存到客户端,减少网络请求,提高页面加载速度...

    appweb-src-2.4.0-0.tar.gz_嵌入式web

    AppWeb的配置文件(通常是`httpd.conf`)用于设置服务器行为,包括监听端口、文档根目录、虚拟主机、访问控制策略等。通过修改配置文件,可以根据需求调整服务器行为。 **开发与调试** AppWeb提供了丰富的API,...

    RDK-Web-Performance-Node

    在RDK-Web-Performance-Node中,可能包含对前端资源的优化、后端服务器性能调整以及网络传输效率提升等措施。 3. **Node.js**:Node.js是JavaScript的一个服务器端运行环境,它使得开发者可以用JavaScript编写...

    PyPI 官网下载 | freezer-web-ui-3.0.0.0b3.tar.gz

    "PyPI 官网下载 | freezer-web-ui-3.0.0.0b3.tar.gz"这个标题提及的是一个从Python Package Index (PyPI) 官方网站获取的压缩包文件,名为`freezer-web-ui-3.0.0.0b3.tar.gz`。PyPI是Python开发者发布自己软件包的...

    web-hacking-101

    总的来说,《Web黑客基础教程》是一份全面的资源,适合对网络安全感兴趣的初学者。通过学习,你可以提升自己的Web安全技能,无论是为了保护自己的网站,还是为了从事安全咨询、渗透测试等工作,都将受益匪浅。尽管这...

    appweb-2.4.2-2M-src

    这款 Web 服务器以其小巧的体积、高性能和灵活性,广泛应用于嵌入式设备、物联网(IoT)以及需要在有限资源环境下运行 Web 服务的项目。 1. **源码结构与组件** AppWeb 源码包含了多个组成部分,包括 HTTP 引擎、...

    Isilon-OneFS-7.2.1-Web-Administration-Guide

    - 支持多种数据保护策略,如N+M数据保护、数据镜像等。 - 内置虚拟热备功能,可以在不影响性能的情况下进行数据恢复。 - **平衡保护与存储空间:** - 通过灵活的数据保护选项,在确保数据安全的同时最大限度地...

    hr-web-人事系统前端

    这些接口需要遵循一定的安全策略,如OAuth2.0授权协议,以保护企业敏感信息的安全。 四、安全性与权限控制 在企业应用系统中,数据安全至关重要。前端需实现用户身份验证和授权,例如使用JWT(JSON Web Tokens)...

    Gil-Web-Cache-Deception-Attack-wp.zip

    2. **使用安全的缓存策略**:例如,仅缓存静态、无敏感信息的资源,对动态内容或敏感信息使用私有缓存。 3. **监测网络流量**:监控异常请求和响应模式,及时发现并阻止潜在的攻击。 4. **使用缓存签名**:为缓存...

    Web-design-the-missing-link-ebook-2016-11.pdf

    通过对核心概念的深入探讨和最佳实践的分享,这本书为希望构建高效、可靠且易于使用的Web API的专业人士提供了宝贵的资源。通过遵循书中的指导原则,开发者可以构建出既符合REST架构风格又具有高度可维护性的API系统...

    web-attack

    Web攻击是指针对Web应用程序或服务器的恶意活动,其目的是窃取敏感...对于企业而言,构建全面的Web安全防护体系,包括防火墙、入侵检测系统、Web应用防火墙(WAF)以及备份和恢复策略,是保障在线服务安全的重要步骤。

    us-17-Gil-Web-Cache-Deception-Attack.pdf

    WAF(Web应用防火墙)通常用于保护网站免受此类攻击,但它并不总是能够完全防御Web缓存欺骗。WAF可能无法识别那些看似正常但实则恶意的请求,尤其是当攻击者巧妙地构建了模糊的请求路径时。因此,为了增强安全性,...

    spring-security-web-3 source code

    在这个主题中,我们将深入探讨`spring-security-web-3`的源码,理解其核心机制,从而更好地利用这个框架来保护我们的应用。 一、Spring Security简介 Spring Security是Spring生态系统的组成部分,它提供了认证...

    web-server2202.zip

    6. **安全性**:Web服务器需要定期更新以修复安全漏洞,限制不必要的网络访问,使用防火墙和入侵检测系统保护服务器,以及实施严格的访问控制策略。 7. **HTTPS与SSL/TLS**:HTTPS是HTTP的安全版本,通过SSL/TLS...

    藏经阁-Web-Cache-Deception-Attack.pdf

    《藏经阁-Web-Cache-Deception-Attack.pdf》这篇文档主要探讨了一种名为Web Cache Deception Attack的网络安全威胁,这种攻击利用了Web缓存系统中的漏洞来实施欺诈行为。Web缓存是互联网基础设施的重要组成部分,...

Global site tag (gtag.js) - Google Analytics